QRadar 没有监听 514 端口

Posted 2023-02-22

【中文标题】QRadar 没有监听 514 端口

【英文标题】：QRadar no listening on 514 port

【发布时间】：2021-02-18 22:06:38

【问题描述】：

我安装了一个全新的 QRadar 社区，并配置了一个 syslog 事件源。

但是 （没有 TCP 和 UDP）

你有什么想法吗？

这里是 netstat 的输出：

[root@localhost ~]# netstat -nlp|grep 514
tcp6       0      0 :::1514                 :::*                    LISTEN      24177/syslog-ng
udp6       0      0 :::1514                 :::*                                24177/syslog-ng

非常感谢您的帮助！

【参考方案1】：

我在新安装的 QRadar CE 7.3.3 时遇到了同样的问题。 Syslog 没有在端口 514 上侦听，并且没有其他日志事件显示在实时流中。

在/var/log/qradar.log 中出现以下消息：

Apr 10 08:48:43 ::ffff:X.X.X.X [masterdaemon.masterdaemon] [Thread-70] com.eventgnosis.ecs: [INFO] [NOT:0000006000][X.X.X.X/- -] [-/- -]Waiting for valid license...

最后我在 IBM 的支持页面上找到了这个 support article。按照文章中所述更新许可证文件后，一切正常。

【讨论】：

谢谢。全新安装 CE 7.3.3 后，我必须在 2022 年 1 月遵循相同的步骤。一些许可证文件在那里，但不是全部。