Mensaje de error "correlación inesperada aquí" durante el proceso de compilar .

5745

Created On 10/12/23 08:16 AM - Last Modified 01/07/25 05:52 AM

Symptom

There are several symptoms related to the "correlation" log type: Example below on the Firewall.

Al intentar agregar un nuevo perfil de servidor.
Vaya a Dispositivo > perfil del servidor > Syslog.
Agregar un nuevo perfil de servidor Syslog .
Busque " Formato de registro personalizado " y desplácese hacia abajo.
No hay ningún objeto "Correlación", en su lugar se muestra " $.Format.Correlation ".
Al intentar configurar , aparece el error "Solicitud malformada".

Al intentar compilar la configuración después de una actualización de software, y la configuración incluía un perfil de syslog configurado previamente, la compilar en el cortafuegos falla con el siguiente error:

Operation Commit
Status Completed
Result Failed
Details
Validation Error:
shared -> log-settings -> syslog -> test-syslog -> format -> correlation unexpected here
shared -> log-settings -> syslog -> test-syslog -> format is invalid
Commit failed

Al intentar editar un perfil de servidor existente:

Environment

Plataformas Palo Alto 3400 y 5400
PANOS 10.2.2, 11.0.3, 11.1.2x

Cause

Las plataformas 3400/5400f no se han definido para eventos de correlación bajo un formato de registro personalizado, lo que provoca el error de solicitud mal formada.

Resolution

El problema se solucionó en PAN-255711 y PAN-203791 .
Actualizar PAN-OS a las versiones 11.2.3, 11.1.5, 11.0.7, 10.2.5, 10.1.12 o superiores resolverá el problema.
Cambiar a la versión anterior también resolverá el problema.

Additional Information

Solución alternativa:

Exportar configuración de candidato
- Vaya a Panorama > Configuración > Operaciones > Exportar instantánea de configuración de Panorama denominada.
- Guarde el archivo exportado en su computadora.
Editar configuración de candidatos
- Utilice un editor de texto como Notepad++ o un editor XML para abrir el archivo de configuración del candidato exportado.
- Eliminar las siguientes entradas resaltadas

<format>
<config>LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$result|ReceiveTime=$receive_time|SerialNumber=$serial|cat=$type|devTime=$cef-formatted-receive_time|src=$host|VirtualSystem=$vsys| msg=$cmd|usrName=$admin|client=$client|Result=$result| ConfigurationPath=$path|sequence=$seqno|ActionFlags=$actionflags| BeforeChangeDetail=$before-change-detail|AfterChangeDetail=$after-change-detail|DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name</config>
...
<iptag>LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|$sender_sw_version|$event_id|x7C|cat=$type|devTime=$cef-formatted-receive_time|ReceiveTime=$receive_time|SerialNumber=$serial|Subtype=$subtype|GenerateTime=$time_generated|VirtualSystem=$vsys|src=$ip|TagName=$tag_name|EventID=$eventid|RepeatCount=$repeatcnt|TimeoutThreshold=$timeout|DataSourceName=$datasourcename|DataSource=$datasource_type|DataSourceType=$datasource_subtype|sequence=$seqno|ActionFlags=$actionflags|DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name|VirtualSystemID=$vsys_id</iptag>
<correlation>LEEF:2.0|Palo Alto Networks|PAN-OS Syslog Integration|8.0|$category|ReceiveTime=$receive_time|x7C|SerialNumber=$serial|cat=$type|devTime=$cef-formatted-receive_time|startTime=$cef-formatted-time_generated|Severity=$severity|VirtualSystem=$vsys|VirtualSystemID=$vsys_id|src=$src|SourceUser=$srcuser|msg=$evidence|DeviceGroupHierarchyL1=$dg_hier_level_1|DeviceGroupHierarchyL2=$dg_hier_level_2|DeviceGroupHierarchyL3=$dg_hier_level_3|DeviceGroupHierarchyL4=$dg_hier_level_4|vSrcName=$vsys_name|DeviceName=$device_name|ObjectName=$object_name|ObjectID=$object_id</correlation>
</format>