我有一个ASA5520设置为将日志发送到splunk syslog服务器。 设置工作一段时间,通常大约24小时左右,但然后停止,直到日志重新configuration(twiddling端口)或ASA重新启动。
我应该看什么来解决这个问题? 我不知道,如果它的splunk syslog守护进程忽略连接或ASA得到搞砸,并停止发送。
编号喜欢启用'不通过stream量没有日志工作'选项,但没有稳定的连接到系统日志,这是一个非起动器。
尝试到目前为止:TCP和UDP,不同的端口,改变日志logging级别
在Splunk主机上放置数据包嗅探器,设置捕获filter,仅捕获源自ASA的数据包,启动捕获,当splunk停止“查看”来自ASA的数据时,查看捕获情况并查看是否仍有stream量进入从ASA来说,如果问题出在Splunk上,那么问题就出在了ASA或两者之间的networking上。