Archive

--splunk-cooked-mode-v3--

Engager

Need some help please.

I just setup Splunk on it's own 08 R2 server and have a Splunk forwarder on a 03 server behind a firewall. I need to store event logs off this server for PCI Compliance. I set the port to 514 TCP and it is working but I get weird logs like the following:

3/15/11 1:54:43.000 PM

--splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00VLANTS\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x1\x00\x00\x00\x13__s2s_capabilities\x00\x00\x00\x00\x14ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00\x5_raw\x00

* host=vlants.xxx.xxx   Options|  
* sourcetype=syslog   Options|  
* source=tcp:514   Options

When I go in and gather logs off say my machine I get plain-text event logs that are readable. I go to Manager -> Data Input -> Event log collections -> New I put in my IP address and I can select what logs I want to gather via WMI which is great. From my understanding gathering logs from behind a firewall is a nightmare as the ports become random with WMI and you need a forwarder to shoot them all out one port. Okay that is also fine. I go to the server behind the firewall and install it via the command line below.

This is the cmd line I used to install the forwarder: C:>msiexec.exe /i splunk-4.2-96430-x86-release.msi SPLUNK_APP="SplunkLightForwarder" FORWARD_SERVER="10.0.1.155:514" WINEVENTLOG_SYS_ENABLE=1 WINEVENTLOG_APP_ENABLE=1 WINEVENTLOG_SEC_ENABLE=1 WINEVENTLOG_FWD_ENABLE=1 WINEVENTLOG_SET_ENABLE=1 /quiet

I setup the splunk listener port under Manager -> Data Input -> TCP TCP Port: 514 Set sourcetype: From list Select source type from list: syslog

Maybe syslog is wrong but I've tried IIS and several other options in this field they all produce the same unreadable logs.

The services are running properly and everything seems to be installed correctly. Just not getting readable event logs.

Anyone know what my problem is and how to fix it? Any help is greatly appreciated.

Thanks.

Tags (1)
1 Solution

Engager

Thanks for the reply. That was exactly the problem and that fixed it. Thank you!

0 Karma