在防火墙中生成的日志与在使用 CEF 自定义日志格式的 syslog 服务器中接收的日志之间存在巨大的时间差异或数据差异

8444

Created On 07/10/24 02:56 AM - Last Modified 08/14/24 01:42 AM

Symptom

流量/威胁日志配置为转发到外部 syslog 服务器。
Syslog 服务器使用自定义日志格式 CEF 在防火墙中正确配置。

CEF 自定义格式取自：

syslog 服务器收到的结果日志在 “结束时间 ”和 “代理接收时间”方面存在巨大的时间差异/差异。（在这种情况下相差 5 小时）。

从以下站点获取（复制/粘贴）的 CEF 自定义日志格式可能有一些换行符。
PAN-OS 10.0 CEF 配置指南

在上面的示例中，威胁自定义日志格式不应包含任何换行符。如果我们将文本复制/粘贴到记事本中*，它应该是一行长行，而不是像下面那样有多个换行符（在本例中分为 27 行）：

*在记事本中，请确保您已关闭“自动换行”，以便查看是否有多行。

如果自定义日志格式包含多个换行符，则 syslog 服务器会将单个日志解释为多个日志，从而导致差异和混乱。这也可能导致时间戳字段重叠。

修改自定义日志格式并删除换行符，使其在粘贴到防火墙配置之前为单个长行。