Format de message syslog différent pour les journaux reçus de deux pare-feu

Symptôme

Syslog Server reçoit différents messages de format syslog provenant de deux pare-feu de Palo Alto Networks. Les formats de message diffèrent par une position.

Voici des exemples de messages syslog «RAW» (avant l'analyse) avec et sans le nom d'hôte activé.

Avec hostname:

Tue Jan 28 13:28:22 2014: <190>Jan 28 01:28:</190>35 PA-VM300-goran1 1, 2014/01/28 01:28:35, 007200001056, Traffic, end, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, autoriser-tous,,, NetBIOS-NS, vsys1, Trust, detrust, ethernet1/1, ethernet1/2, to-Panorama, 2014 /01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, Allow, 276276, 0, 3, 2014/01/28 01:28:02, 2, any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Sans hostname:

Tue Jan 28 13:28:25 2014: <190>Jan 28 01:28:</190>38 1, 2014/01/28 01:28:38, 007200001057, Traffic, end, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, autoriser-tous,,, NetBIOS-DG, vsys1, Trust, méfiance, ethernet1/1, ethernet1/2, to-Panorama, 2014/01/28 01:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, UDP, Allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

Si un mécanisme d'analyse sur le serveur Syslog est ajusté pour analyser les journaux à partir du même point (par exemple, à partir de la 9e colonne-Space est délimiteur), un journal sera tronqué.

Cause

Le périphérique FIREWALL1 a l'option'Envoyer un nom d'hôte dans syslog' (Device > Setup > Management > journalisation et paramètres de rapport) activée. Cette option indique au pare-feu d'inclure son nom d'hôte dans le message syslog, qui ajoute un champ de plus. Le périphérique firewall2 a cette option désactivé, et si le message syslog a un champ de moins que le message de FIREWALL1.

Les exemples suivants sont des messages syslog après l'analyse (avec et sans le nom d'hôte activé, respectivement):

Message syslog reçu de FIREWALL1

1, 2014/01/28 01:28:35, 007200001056, Traffic, end, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, autoriser-tous,,, NetBIOS-NS, vsys1, Trust, Untrust, ethernet1/1, ethernet1/2, to-Panorama, 2014/01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, UDP, Allow, 276276, 0, 3, 2014/01/28 01:28:02, 2, any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

Message syslog reçu de firewall2

01:28:38, 007200001057, Traffic, end, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, autoriser-tous,,, NetBIOS-DG, vsys1, Trust, méfiance, ethernet1/1, ethernet1/2, to-Panorama, 2014/01/28 01:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, UDP, Allow, 243243, 0, 1, 2014/01/28 01:28:07, 0, any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

Résolution

Assurez-vous d'avoir le même "envoyer hostname dans syslog" paramètre d'option (soit activé ou désactivé) sur les deux pare-feu.

propriétaire: gbogojevic