Meraki 和 Syslog-NG

Posted 2023-02-22

【中文标题】Meraki 和 Syslog-NG

【英文标题】：Meraki and Syslog-NG

【发布时间】：2021-05-28 23:12:26

【问题描述】：

我一直在努力将清晰的日志从我的 Meraki 设备导出到运行 Syslog-NG OSE 3.30 的服务器。无论我在服务器上使用什么源驱动程序，我都会看到这样的错误（识别细节已更改）：

May 28 15:56:23  syslog-ng[32734]: Error processing log message: <134>1>@< 1622231783.881009670 HOSTNAME1 flows allow src=10.1.1.1 dst=10.2.1.1 mac=BLAH protocol=icmp type=0
May 28 15:56:23  syslog-ng[32734]: Error processing log message: <134>1>@< 1622231783.857281611 HOSTNAME2 flows allow src=10.1.1.2 dst=10.2.1.2 mac=BLAH protocol=icmp type=0

这是 RFC3164 或 RFC5424 的 Meraki 合规性问题吗？或者只是一个消息格式的特质？这是否意味着我必须在我的 Syslog-NG 服务器上使用 patterndb 中的 XML 文件专门解析 Meraki syslog 消息？如果是这样，任何人都可以指出一个我可以查看的示例吗？

谢谢！

【参考方案1】：

我找到了答案。 Meraki 目前使用 UNIX 时间格式而不是 ISO 8601 格式发送系统日志消息。这不适用于 Syslog-NG 的网络驱动程序——即default-network-drivers()、syslog() 和 network() - 除非您向后弯腰解析和重写消息以符合 RFC 5424。

思科的噩梦和坦率地说奇怪的选择。