Formato de mensaje syslog diferente para logs recibidos de dos firewalls

Síntoma

Syslog Server recibe diferentes mensajes de formato syslog de dos firewalls de Palo Alto Networks. Los formatos de mensaje difieren en una posición.

Los siguientes son ejemplos de ' raw ' (antes de analizar) los mensajes de syslog con y sin el nombre de host habilitado.

Con hostname:

Tue ene 28 13:28:22 2014: <190>Ene 28 01:28:</190>35 PA-VM300-goran1 1, 2014/01/28 01:28:35, 007200001056, Traffic, end, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, allow-All,,, NetBIOS-NS, vsys1, confianza, Untrust, ethernet1/1, ethernet1/2, to-panorama, 2014 /01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, allow, 276276, 0,3, 2014/01/28 01:28:02, 2, Any, 0, 2076326, 0X0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Sin nombre de host:

Tue ene 28 13:28:25 2014: <190>Ene 28 01:28:</190>38 1, 2014/01/28 01:28:38, 007200001057, Traffic, end, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, allow-todo,,, NetBIOS-DG, vsys1, confianza, Untrust, ethernet1/1, ethernet1/2, to-panorama, 2014/01/28 01:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, UDP, allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, Any, 0, 2076327, 0X0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

Si se ajusta un mecanismo de análisis en el servidor syslog para analizar los registros desde el mismo punto (por ejemplo, desde la novena columna-espacio es delimitador), se truncará un registro.

Causa

El dispositivo Firewall1 tiene el ' enviar nombre de host en syslog ' (dispositivo > configuración > gestión > registro y configuración de reporting) opción activada. Esta opción indica al cortafuegos que incluya su nombre de host en el mensaje syslog, lo que agrega un campo más. El dispositivo Firewall2 tiene esta opción deshabilitada, por lo que el mensaje syslog tiene un campo menor que el mensaje de Firewall1.

A continuación se muestran ejemplos de mensajes syslog después del análisis (con y sin el nombre de host habilitado, respectivamente):

Mensaje de syslog recibido de Firewall1

1, 2014/01/28 01:28:35, 007200001056, Traffic, end, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, allow-todo,,, NetBIOS-NS, vsys1, confianza, Untrust, ethernet1/1, ethernet1/2, to-panorama, 2014/01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, allow, 276276, 0,3, 2014/01/28 01:28:02, 2, Any, 0, 2076326, 0X0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Mensaje de syslog recibido de Firewall2

01:28:38, 007200001057, Traffic, end, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, allow-todo,,, NetBIOS-DG, vsys1, confianza, Untrust, ethernet1/1, ethernet1/2, to-panorama, 2014/01/28 01:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, UDP, allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, Any, 0, 2076327, 0X0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

Resolución

Asegúrese de tener el mismo ajuste de opción "enviar nombre de host en syslog" (habilitado o deshabilitado) en ambos cortafuegos.

Propietario: gbogojevic