Назад | Перейти на главную страницу

ASA5520 прекращает отправку в системный журнал splunk

У меня есть ASA5520, который настроен для отправки журналов на сервер системного журнала splunk. установка работает некоторое время, обычно около 24 часов, но затем останавливается до тех пор, пока не будет переконфигурировано ведение журнала (вращение портов) или пока не будет перезапущен ASA.

на что мне обратить внимание, чтобы решить эту проблему? Я не уверен, что это демон системного журнала splunk, игнорирующий соединения, или ASA, который сбивается и прекращает отправку.

id хотел бы включить опцию «не пропускать трафик без регистрации работы», но без стабильного подключения к системному журналу, это не для запуска.

пробовал пока: TCP и UDP, разные порты, изменение уровня логирования

Поместите анализатор пакетов на хост Splunk, настройте фильтр захвата для захвата только пакетов, исходящих от ASA, начните захват, когда splunk перестает "видеть" данные от ASA, посмотрите на захват и посмотрите, идет ли трафик от ASA, если это так, то проблема в Splunk, если нет, тогда проблема в ASA или сети между ними.