Alle Informationen werden nicht an den Syslog-Server weitergeleitet, wenn das CEF-Format mit Transport als TCP verwendet wird.

Alle Informationen werden nicht an den Syslog-Server weitergeleitet, wenn das CEF-Format mit Transport als TCP verwendet wird.

5788
Created On 08/05/23 07:11 AM - Last Modified 07/14/25 20:56 PM


Symptom


  • Bei der Verwendung von TCP werden Teilprotokolle gemäß dem CEF-Konfigurationsleitfaden an den Syslog-Server weitergeleitet
  • Wenn Sie UDP verwenden, funktionieren die Protokolle einwandfrei.
  • In ähnlicher Weise wird das CEF-Protokollformat mit UDP auf dem Syslog-Server korrekt angezeigt, während das TCP-Format falsch angezeigt wird.

CEF-Datenverkehrsprotokollformat in der Firewall:
GUI: Geräte- > Serverprofil > Syslog-> Benutzerdefiniertes Protokollformat > Protokolltyp auswählen
Bild.png 
  • Das folgende Format wurde direkt aus dem CEF-Konfigurationshandbuch (PDF) kopiert und eingefügt und verursacht das Problem bei der Verwendung von TCP.
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time 
deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc
destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app
cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to
deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset
cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport
destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action
flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets
cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent
start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category
cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1
PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4
PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags
PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag
PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel
PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent
PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection
PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches
PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type
PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
  • Die Anzeige des CEF-Protokollformats mit UDP auf dem Syslog-Server wird korrekt angezeigt und funktioniert einwandfrei.

Bild.png

  • Ein ähnliches CEF-Protokollformat mit TCP auf dem Syslog-Server zeigt fehlende Felder und Protokolle werden nicht korrekt weitergeleitet

Bild.png

 

 

Environment


  • Palo Alto Firewall oder Panorama
  • PAN-OS 9.1 und höher
  • Syslog-Weiterleitung

Cause


  • Kopieren Sie die CEF-Formate und fügen Sie sie direkt aus der PDF-Datei des Konfigurationsleitfadens in die PAN-OS-Weboberfläche ein.
  • Syslog-ng mit TCP verarbeitet Zeilenumbrüche nicht korrekt.

Resolution


  1. Aufgrund der PDF-Formatierung sollten Sie die Nachrichtenformate nicht kopieren und direkt in die PAN-OS-Weboberfläche einfügen.
  2. Kopieren Sie stattdessen die Nachrichtenformate, fügen Sie sie in einen Texteditor ein, entfernen Sie alle Wagenrücklauf- oder Zeilenvorschubzeichen, und kopieren Sie sie dann und fügen Sie sie in die Weboberfläche ein.
Beispiel: CEF-Protokollformat für Datenverkehr
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name

Bild.png

 
 

Additional Information


CEF-Konfigurationsleitfaden

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g20uCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language