2つのファイアウォールから受信したログの Syslog メッセージ形式が異なる

2つのファイアウォールから受信したログの Syslog メッセージ形式が異なる

37218
Created On 09/26/18 13:50 PM - Last Modified 06/07/23 17:16 PM


Resolution


問題の状況

syslog サーバーは2つのパロアルトネットワークファイアウォールから異なる syslog 形式のメッセージを受信します。メッセージ形式は1つの位置によって異なります。

以下は、ホスト名の有無にかかわらず、syslog メッセージの「raw」 (パース前) の例です。

ホスト名:

火1月 28 13:28:22 2014: <190>1月 28 01:28:</190>35 PA-VM300-goran1 1, 2014/01/28 01:28:35, 007200001056, トラフィック, 終了, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, 許可-すべての,,, netbios-ns, vsys1, トラスト, Untrust, ethernet1/1, ethernet1/2, To-パノラマ, 2014/01/28 01:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, udp, 許可, 276276, 0, 3, 2014/01/28 01:28:02, 2, any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

ホスト名なし:

火1月 28 13:28:25 2014: <190>1月 28 01:28:</190>38 1, 2014/01/28 01:28:38, 007200001057, トラフィック, 終了, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, 許可-すべての,,, netbios-dg, vsys1, トラスト, Untrust, ethernet1/1, ethernet1/2, To-パノラマ, 2014/01/2801:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, udp, 許可, 243243, 0, 1, 2014/01/28 01:28:07, 0, any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

 

syslog サーバー上の解析メカニズムが同じポイントからログを解析するように調整されている場合 (たとえば、9番目のカラムスペースがデリミタである場合など)、1つのログは切り捨てられます。

 

原因

firewall1 デバイスには、[Syslog にホスト名を送信] (デバイス > セットアップ > 管理 > ロギングとレポート設定) オプションが有効になっています。このオプションは、ファイアウォールに syslog メッセージにホスト名を含めるように指示し、さらに1つのフィールドを追加します。firewall2 デバイスはこのオプションを無効にしているので、syslog メッセージには firewall1 からのメッセージよりも1つ小さいフィールドがあります。

 

以下に、解析後の syslog メッセージの例を示します (ホスト名の有無にかかわらず、それぞれ有効です)。

 

firewall1 から受信した Syslog メッセージ

1, 2014/01/28 01:28:35, 007200001056, トラフィック, 終了, 1, 2014/01/28 01:28:34, 192.168.41.30, 192.168.41.255, 10.193.16.193, 192.168.41.255, 許可-すべての,,, netbios-ns, vsys1, トラスト, Untrust, ethernet1/1, ethernet1/2, To-パノラマ, 2014/01/2801:28:34, 8720, 1, 137, 137, 11637, 137, 0x400000, udp, 許可, 276276, 0, 3, 2014/01/28 01:28:02, 2, any, 0, 2076326, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 3, 0

firewall2 から受信した Syslog メッセージ

01:28:38, 007200001057, トラフィック, 終了, 1, 2014/01/28 01:28:37, 192.168.22.123, 192.168.22.255, 10.193.16.193, 192.168.22.255, 許可-すべての,,, netbios-dg, vsys1, トラスト, Untrust, ethernet1/1, ethernet1/2, To-パノラマ, 2014/01/2801:28:37, 8721, 1, 138, 138, 3040, 138, 0x400000, udp, 許可, 243243, 0, 1, 2014/01/28 01:28:07, 0, any, 0, 2076327, 0x0, 192.168.0.0-192.168.255.255, 192.168.0.0-192.168.255.255, 0, 1, 0

 

解決方法

両方のファイアウォールで同じ「Syslog でホスト名を送信」オプション設定 (有効または無効) があることを確認してください。

 

所有者: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsYCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language