"UEBA 录像异常的排查方法 1、服务端配置 vi /test/isa/conf/logstash/logstash.conf [图片] 找对位置，添加红框内容，目的通过标签名筛选接受的 log 信息，并保存于指定目录。 2、客户端配置 c ...."

hech
Rpa 44 号会员
UEBA 其他经验 • 0 回帖 • 770 浏览 • 2018-09-14 18:03:51

UEBA 录像异常的排查方法

UEBA 录像异常的排查方法
1、服务端配置

vi /test/isa/conf/logstash/logstash.conf

找对位置，添加红框内容，目的通过标签名筛选接受的 log 信息，并保存于指定目录。

2、客户端配置
config 目录下 UEBAOption.ini 配置文件里 [Common] 增加 2 个配置
IsOutUdpLog=1
IsOutPluginLog=1
重启 agent。

以上 2 部的目的是对比客户端的 logchannel 日志和 logstash 接收的日志，确认具体是客户端日志未发送还是客户端未接受，定位问题在客户端还是服务端。