うまくいかない場合、下記を実施。
1.inputs.confが適切に設定されていること。
※ディレクトが間違っていないか
※ポート番号がほかのAPPを重なっていないか
2.PaloaltoのSYSLOG設定でカスタムログ設定していないか
3.PaloaltoからSYSLOGが飛んでいるか
※tcpdump、wiresharkで確認
4.iptables、WindowsFirewallで514をブロックしていないか
5. SplunkとPalolatoで時刻がずれていないか
6.UDP以外のSYSLOGを使用していないか
このあたりを確認すればOK。
参考URL: http://pansplunk.readthedocs.org/en/latest/troubleshoot.html#troubleshoot
1.inputs.confが適切に設定されていること。
※ディレクトが間違っていないか
※ポート番号がほかのAPPを重なっていないか
2.PaloaltoのSYSLOG設定でカスタムログ設定していないか
3.PaloaltoからSYSLOGが飛んでいるか
※tcpdump、wiresharkで確認
4.iptables、WindowsFirewallで514をブロックしていないか
5. SplunkとPalolatoで時刻がずれていないか
6.UDP以外のSYSLOGを使用していないか
このあたりを確認すればOK。
参考URL: http://pansplunk.readthedocs.org/en/latest/troubleshoot.html#troubleshoot
コメント