ファイアウォールで生成されたログと、CEFカスタムログ形式を使用するsyslogサーバーで受信したログとの間には、大きな時間差やデータの不一致が見られます

ファイアウォールで生成されたログと、CEFカスタムログ形式を使用するsyslogサーバーで受信したログとの間には、大きな時間差やデータの不一致が見られます

8460
Created On 07/10/24 02:56 AM - Last Modified 08/14/24 01:46 AM


Symptom


トラフィック/脅威ログは、外部の syslog サーバに転送されるように設定されます。</Sysl
og サーバーは、カスタム ログ形式 CEF.画像.png
画像.png
を使用してファイアウォールで適切に構成されます。CEF カスタム形式は、次のものから取得されました。

PAN-OS 10.0 CEF 設定ガイド

syslog サーバが受信したログの結果、 終了時刻エージェントの受信時刻に大きな時間差や不一致があります。 (この場合は5時間差)。

画像.png

Cause


以下のサイトから取得したCEFカスタムログ形式(コピー/ペースト)には、改行がある場合があります。
PAN-OS 10.0 CEF 設定ガイド
画像.png
上記の例では、Threat カスタムログ形式に改行を含めないでください。 テキストをコピーしてメモ帳*に貼り付ける場合は、以下のように複数の改行があるのではなく、1つの長い行である必要があります:
画像.png
*メモ帳では、複数の行があるかどうかを確認するために「ワードラップ」がオフになっていることを確認してください

カスタムログ形式に複数の改行が含まれている場合、syslog サーバは 1 つのログを複数のログと解釈し、不一致と混乱を引き起こします。 これにより、タイムスタンプ フィールドが重複する可能性もあります。
 

Resolution


カスタムログ形式を変更し、改行を削除して、ファイアウォール設定に貼り付ける前に 1 行の長い行になるようにします。
画像.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TowpCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language