Se observa una gran diferencia de tiempo o discrepancia de datos entre el registro generado en el firewall y el registro recibido en el servidor syslog que utiliza el formato de registro personalizado CEF
8462
Created On 07/10/24 02:56 AM - Last Modified 08/14/24 01:42 AM
Symptom
Los registros de tráfico/amenazas están configurados para ser reenviados a un servidor syslog externo.
El servidor Syslog se configura correctamente en el firewall mediante el formato de registro personalizado CEF.
El formato personalizado del CEF se tomó de:
Guía de configuración de PAN-OS 10.0 CEF
Los registros resultantes recibidos por el servidor syslog tienen una gran diferencia/discrepancia de tiempo en la hora de finalización y la hora de recepción del agente. (5 horas de diferencia en este caso).Cause
El formato de registro personalizado CEF tomado (copiar / pegar) del sitio a continuación puede tener algunos saltos de línea.
Guía de configuración de PAN-OS 10.0 CEF
En el ejemplo anterior, el formato de registro personalizado de amenazas no debe contener saltos de línea. Si copiamos / pegamos el texto en el bloc de notas*, debe ser una línea larga en lugar de tener varios saltos de línea como a continuación (divididos en 27 líneas en este caso):
*En el bloc de notas, asegúrese de tener desactivado el "ajuste de línea" para ver si hay varias líneas.
Si el formato de registro personalizado contiene varios saltos de línea, el servidor syslog interpretaría un solo registro como varios registros que causan discrepancias y caos. Esto también puede hacer que los campos de marca de tiempo se superpongan.
Resolution
Modifique el formato de registro personalizado y elimine los saltos de línea para que sea una sola línea larga antes de pegarla en la configuración del firewall.