Énorme différence de temps ou divergence de données entre le journal généré dans le pare-feu et le journal reçu dans le serveur syslog qui utilise le format de journal personnalisé CEF
8442
Created On 07/10/24 02:56 AM - Last Modified 08/14/24 01:43 AM
Symptom
Les journaux de trafic/menaces sont configurés pour être transférés à un serveur syslog externe.
Le serveur Syslog est correctement configuré dans le pare-feu à l’aide du format de journal personnalisé CEF.
Le format personnalisé CEF a été tiré de :
PAN-OS 10.0 CEF Configuration Guide
Les journaux résultants reçus par le serveur syslog présentent une différence/un écart de temps énorme entre l’heure de fin et l’heure de réception de l’agent. (5 heures de différence dans ce cas).Cause
Le format de journal personnalisé CEF pris (copier/coller) à partir du site ci-dessous peut comporter des sauts de ligne.
Guide de configuration PAN-OS 10.0 CEF
Dans l’exemple ci-dessus, le format de journal personnalisé des menaces ne doit pas contenir de sauts de ligne. Si nous copions/collons le texte dans le bloc-notes*, il devrait s’agir d’une longue ligne au lieu d’avoir plusieurs sauts de ligne comme ci-dessous (divisé en 27 lignes dans ce cas) :
*Dans le bloc-notes, assurez-vous que vous avez désactivé « retour à la ligne » afin de voir s’il y a plusieurs lignes.
Si le format de journal personnalisé contient plusieurs sauts de ligne, le serveur syslog interprète un seul journal comme plusieurs journaux, ce qui entraîne des divergences et un chaos. Cela peut également entraîner le chevauchement des champs d’horodatage.
Resolution
Modifiez le format de journal personnalisé et supprimez les sauts de ligne afin qu’il s’agisse d’une seule longue ligne avant de la coller dans la configuration du pare-feu.