Syslog-Message-Format anders für Protokolle, die von zwei Firewalls empfangen werden

Syslog-Message-Format anders für Protokolle, die von zwei Firewalls empfangen werden

37254
Created On 09/26/18 13:50 PM - Last Modified 06/07/23 17:16 PM


Resolution


Symptom

Syslog Server erhält verschiedene syslog-Format-Nachrichten von zwei Palo Alto Networks Firewalls. Die Nachrichtenformate unterscheiden sich um eine Position.

Im folgenden finden Sie Beispiele für "RAW" (vor dem Parsen) Syslog-Nachrichten mit und ohne Hostnamen aktiviert.

Mit Hostname:

Di Jan 28 13:28:22 2014: <190>Jan 28 01:28:</190>35 PA-VM300-goran1 1, 2014/01/28 01:28:35, 007200001056, Traffic, Ende, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, allow-alle,,, NetBIOS-NS, vsys1, Trust, Untrust, Ethernet1/1, Ethernet1/2, to-Panorama, 2014 /01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, allow, 276276, 0, 3, 2014/01/28 01:28:02, 2, Any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Ohne Hostname:

Di Jan 28 13:28:25 2014: <190>Jan 28 01:28:</190>38 1, 2014/01/28 01:28:38, 007200001057, Verkehr, Ende, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, allow-alle,,, NetBIOS-DG, vsys1, Trust, Untrust, Ethernet1/1, Ethernet1/2, to-Panorama, 2014/01/28 01:28:8721, 1, 138, 138, 3040, 138, 0x400000, UDP, allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, Any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

 

Wenn ein Parsing-Mechanismus auf dem Syslog-Server angepasst wird, um Protokolle vom gleichen Punkt zu Parsen (zum Beispiel ab der 9. Spalte-der Speicherplatz ist Abgrenzer), wird ein Log abgeschnitten.

 

Ursache

Das firewall1-Gerät hat die Option "Hostname senden in syslog" (Device > Setup > Management > Protokollierung und Reporting-Einstellungen) aktiviert. Diese Option weist die Firewall an, ihren Hostnamen in die syslog-Nachricht einzufügen, die ein anderes Feld hinzufügt. Das Firewall2-Gerät hat diese Option deaktiviert, und so hat die syslog-Nachricht ein Feld weniger als die Nachricht von firewall1.

 

Im folgenden finden Sie Beispiele für Syslog-Nachrichten nach dem Parsing (mit bzw. ohne Hostname):

 

Syslog-Nachricht von firewall1

1, 2014/01/28 01:28:35, 007200001056, Verkehr, Ende, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, allow-alle,,, NetBIOS-NS, vsys1, Trust, Untrust, Ethernet1/1, Ethernet1/2, to-Panorama, 2014/01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, allow, 276276, 0,3, 2014/01/28 01:28:02, 2, Any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Syslog-Nachricht von Firewall2

01:28:38, 007200001057, Verkehr, Ende, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, allow-alle,,, NetBIOS-DG, vsys1, Trust, Untrust, Ethernet1/1, Ethernet1/2, to-Panorama, 2014/01/28 01:28:8721, 1, 138, 138, 3040, 138, 0x400000, UDP, allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, Any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

 

Lösung

Vergewissern Sie sich, dass Sie auf beiden Firewalls die gleiche Option "Hostname in syslog senden" (entweder aktiviert oder deaktiviert) haben.

 

Besitzer: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsYCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language