因為 QRadar license 的關係，這幾天又重灌了一次 QRadar server
重新裝好後，發現收不到 device 送過來的 syslog，就找了一下解法

做法上，是建議先在 QRadar server 上，用 tcpdump 來確認是否有流量進來
`

For TCP Syslog, type

$ tcpdump -s 0 -A host Device_Address and port 514

For UDP Syslog, type

$ tcpdump -s 0 -A host Device_Address and udp port 514
`

試了 tcpdump 的 command，不曉得為何沒有看到流量進行，但是由送 syslog 的 client 端看，又是正常的
左看右看時，才看到預設的 ehter interface 是錯的，需要自行指定
command 改為，類似如下
`

For TCP Syslog, type

$ tcpdump -i ens192 -s 0 -A host Device_Address and port 514

For UDP Syslog, type

$ tcpdump -i ens192 -s 0 -A host Device_Address and udp port 514
`

有看到 tcpdump 有流量進來，不過在 log activity 上，還是一直看不到資料

最後是一場大烏龍，重啟 QRadar server 就可以正常收 log 囉

Reference

• QRadar: Using the command-line to troubleshoot a Syslog event source