RSyslogd отправляет несколько сообщений CEF в одном сообщении Syslog

Cod1ngFree

15.11.2022, 13:36

Существует скрипт Python, отправляющий несколько событий на удаленный хост с помощью Rsyslogd:

CEF:0|Тест|Интеграция с SIEM|1|1|Нормальный|0| идентификатор файла = 767000670128771115
CEF:0|Тест|Интеграция с SIEM|1|1|Нормальный|0| идентификатор файла = 766000430136104144

Но когда они достигают этого удаленного хоста, эти сообщения, похоже, объединяются в одно и то же сообщение системного журнала:

Два сообщения CEF, объединенные в одном сообщении системного журнала

Знаете ли вы, почему это может происходить?

Заранее спасибо.

0 + 3

системный журнал-ng

syslogd

rsyslog

Michael Hampton

15.11.2022, 13:44

Это должно быть все сообщение? Скриншот подразумевает _значительно_ большее сообщение.

Ответить

Cod1ngFree

15.11.2022, 14:51

@MichaelHampton Да, я сократил сообщения, потому что они очень длинные, особенно если учесть, что они могут состоять из нескольких объединенных CEF. Но в исходном журнале есть ровно одно сообщение CEF на строку, это была идея, которую я пытался обобщить.

Ответить

Michael Hampton

15.11.2022, 14:56

Я думаю, вы столкнулись с очень тонкой ошибкой в Python. См. [здесь] (https://stackoverflow.com/q/40041697/1068283) и [здесь] (https://stackoverflow.com/q/52950147/1068283) для возможных обходных путей.

Ответить

Admin

Этот вопрос на других языках:

EN: RSyslogd is sending multiples CEF messages in the same Syslog message

TH: RSyslogd กำลังส่งข้อความ CEF หลายข้อความในข้อความ Syslog เดียวกัน

RO: RSyslogd is sending multiples CEF messages in the same Syslog message

RU: RSyslogd отправляет несколько сообщений CEF в одном сообщении Syslog

VI: RSyslogd đang gửi nhiều tin nhắn CEF trong cùng một tin nhắn Syslog

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.