Prisma Cloud:Splunk 集成接收损坏的日志/不完整的日志

Prisma Cloud:Splunk 集成接收损坏的日志/不完整的日志

3837
Created On 09/20/23 15:59 PM - Last Modified 01/07/25 11:02 AM


Symptom


  • 当发出警报时,Prisma 将警报负载发送到您的 Splunk 集成,并且您看到它有不完整或损坏的日志

Environment

Cause


  • 一旦发出警报并查看 Splunk 集成上的警报负载,您会发现它似乎不完整或损坏。
GUI > Splunk 环境
截图 2023-08-30 上午 7.34.06.png

Resolution


  1. 请注意,默认下,Splunk 将消息限制为 10,000 字节(字符)。您可以根据 JSON 记录的大小在 Splunk 属性文件中增加此限制。
  2. 请使用此链接来更好地解释这种情况以及如何增加限制。
  3. 一旦限制增加,您应该能够看到未来警报的完整日志。

Additional Information


  • 测试并再次将相同的警报 ID 发送到您的 Splunk,因为您可能需要重新触发警报。
  • 请注意,一旦 Prisma 收到来自警报服务的通知消息,它​​将使用通知模板架构将相同的数据发送到 Splunk。因为通知服务中不会丰富数据,并且大小不会超过 800kb。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgZCCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language