症状
系统日志服务器从两个帕洛阿尔托网络防火墙接收不同的系统日志格式消息。邮件格式因一个位置而异。
下面是 "原始" (在分析之前) 与启用了主机名且没有 "名称" 的日志消息的示例。
具有主机名:
星期二 1月28日 13:28:22 2014: <190>1月28日 01:28:</190>35 PA-VM300-goran1 12014/01/28 01:28:35,007200001056, 交通, 末端, 12014/01/28 01:28:34,192.168.41.30,192.168.41.255,10.193.16.193,192.168.41.255, 允许-所有,,, netbios-ns,vsys1,Trust,Untrust,ethernet1/1,ethernet1/2,To-Panorama,2014/01/28 01:28:34,8720,1, 137,137,11637,137,0x400000, udp, 允许, 2762760, 32014/01/28 01:28:02,2, 任何, 0,2076326,0x0,192.168.0 0-192.168.255.255,192.168.0. 0-192.168.255.255,0, 30
没有主机名:
星期二 1月28日 13:28:25 2014: <190>1月28日 01:28:</190>38 12014/01/28 01:28:38,007200001057, 交通, 结束, 12014/01/28 01:28:37,192.168.22.123,192.168.22.255,10.193.16.193,192.168.22.255, 允许-所有,,, netbios-dg,vsys1,Trust,Untrust,ethernet1/1,ethernet1/2,To-Panorama,2014/01/2801:28:37,8721,1, 138,138,3040,138,0x400000, udp, 允许, 2432430, 12014/01/28 01:28:07,0, 任何, 0,2076327,0x0,192.168.0 0-192.168.255.255,192.168.0. 0-192.168.255.255,0, 10
如果将日志服务器上的分析机制调整为从同一点分析日志 (例如, 从第九列空间是分隔符), 则会截断一个日志。
原因
firewall1 设备已启用 "系统日志中的发送主机名" (设备 >> 安装程序 > 管理 > 记录和报告设置) 选项。此选项指示防火墙将其主机名包括到日志消息中, 这将添加一个字段。firewall2 设备禁用了此选项, 因此系统日志消息的字段少于来自 firewall1 的消息。
下面是分析后的日志消息示例 (分别启用和没有主机名):
从 firewall1 收到的日志消息
12014/01/28 01:28:35,007200001056, 交通, 结束, 12014/01/28 01:28:34,192.168.41.30,192.168.41.255,10.193.16.193,192.168.41.255, 允许-所有,,, netbios-ns,vsys1,Trust,Untrust,ethernet1/1,ethernet1/2,To-Panorama,2014/01/2801:28:34,8720,1, 137,137,11637,137,0x400000, udp, 允许, 2762760, 32014/01/28 01:28:02,2, 任何, 0,2076326,0x0,192.168.0 0-192.168.255.255,192.168.0. 0-192.168.255.255,0, 30
从 firewall2 收到的日志消息
01:28:38,007200001057, 交通, 末端, 12014/01/28 01:28:37,192.168.22.123,192.168.22.255,10.193.16.193,192.168.22.255, 允许-所有,,, netbios-dg,vsys1,Trust,Untrust,ethernet1/1,ethernet1/2,To-Panorama,2014/01/2801:28:37,8721,1, 138,138,3040,138,0x400000, udp, 允许, 2432430, 12014/01/28 01:28:07,0, 任何, 0,2076327,0x0,192.168.0 0-192.168.255.255,192.168.0. 0-192.168.255.255,0, 10
解决办法
请确保两个防火墙上都有相同的 "在日志中发送主机名" 选项设置 (启用或禁用)。
所有者: gbogojevic