Großer Zeitunterschied oder Datendiskrepanz zwischen dem in der Firewall generierten Protokoll und dem Protokoll, das auf dem Syslog-Server empfangen wurde, der das benutzerdefinierte CEF-Protokollformat verwendet
8462
Created On 07/10/24 02:56 AM - Last Modified 08/14/24 01:46 AM
Symptom
Datenverkehrs-/Bedrohungsprotokolle sind so konfiguriert, dass sie an einen externen Syslog-Server weitergeleitet werden.
Der Syslog-Server wird in der Firewall ordnungsgemäß mit dem benutzerdefinierten Protokollformat CEF konfiguriert.
Das benutzerdefinierte CEF-Format wurde entnommen aus:
PAN-OS 10.0 CEF-Konfigurationshandbuch
Die resultierenden Protokolle, die vom Syslog-Server empfangen werden, weisen einen großen Zeitunterschied/eine große Diskrepanz zwischen der Endzeit und der Empfangszeit des Agenten auf. (in diesem Fall 5 Stunden Unterschied).Cause
Das benutzerdefinierte CEF-Protokollformat (Kopieren/Einfügen), das von der folgenden Website übernommen wurde, kann einige Zeilenumbrüche aufweisen.
PAN-OS 10.0 CEF-Konfigurationshandbuch
Im obigen Beispiel sollte das benutzerdefinierte Protokollformat "Bedrohung" keine Zeilenumbrüche enthalten. Wenn wir den Text in Notepad* kopieren/einfügen, sollte es eine lange Zeile sein, anstatt mehrere Zeilenumbrüche wie unten zu haben (in diesem Fall in 27 Zeilen unterteilt):
*Stellen Sie im Notepad sicher, dass Sie "Zeilenumbruch" deaktiviert haben, um zu sehen, ob es mehrere Zeilen gibt.
Wenn das benutzerdefinierte Protokollformat mehrere Zeilenumbrüche enthält, interpretiert der Syslog-Server ein einzelnes Protokoll als mehrere Protokolle, was zu Diskrepanz und Chaos führt. Dies kann auch dazu führen, dass sich die Zeitstempelfelder überlappen.
Resolution
Ändern Sie das benutzerdefinierte Protokollformat und entfernen Sie die Zeilenumbrüche, sodass es sich um eine einzelne lange Zeile handelt, bevor sie in die Firewall-Konfiguration eingefügt wird.