Toutes les informations ne sont pas transmises à Syslog Server tout en suivant le format CEF en utilisant le transport comme TCP.

Toutes les informations ne sont pas transmises à Syslog Server tout en suivant le format CEF en utilisant le transport comme TCP.

5776
Created On 08/05/23 07:11 AM - Last Modified 07/14/25 20:56 PM


Symptom


  • Lors de l’utilisation de TCP, les journaux partiels sont transférés au serveur Syslog en suivant le guide de configuration CEF
  • Lors de l’utilisation d’UDP, les journaux fonctionnent correctement.
  • De même, le format de journal CEF utilisant UDP sur Syslog Server s’affiche correctement alors que le format TCP n’est pas vu correctement.

Format du journal de trafic CEF sur le pare-feu :
GUI : Profil de périphérique > serveur > Syslog > format de journal personnalisé > sélectionner le type de journal
image.png 
  • Le format ci-dessous est copié et collé directement à partir du guide de configuration CEF (PDF) et provoque le problème lors de l’utilisation de TCP.
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time 
deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc
destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app
cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to
deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset
cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport
destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action
flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets
cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent
start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category
cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1
PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4
PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags
PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag
PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel
PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent
PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection
PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches
PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type
PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name
  • L’affichage du format de journal CEF à l’aide d’UDP sur Syslog Server est correctement vu et fonctionne correctement.

image.png

  • Un format de journal CEF similaire utilisant TCP sur Syslog Server montre que les champs manquants et les journaux ne sont pas transférés correctement

image.png

 

 

Environment


  • Pare-feu ou panorama de Palo Alto
  • PAN-OS 9.1 et versions ultérieures
  • Transfert Syslog

Cause


  • Copiez et collez les formats CEF directement à partir du guide de configuration PDF dans l’interface Web PAN-OS.
  • Syslog-ng avec TCP ne traite pas correctement les nouvelles lignes.

Resolution


  1. En raison de la mise en forme PDF, ne copiez pas et ne collez pas les formats de message directement dans l’interface Web PAN-OS.
  2. Au lieu de cela, copiez et collez les formats de message dans un éditeur de texte, supprimez les caractères de retour chariot ou de saut de ligne, puis copiez-collez dans l’interface Web.
Exemple: Format de journal CEF pour le trafic
CEF:0|Palo Alto Networks|PAN-OS|$sender_sw_version|$subtype|$type|1|rt=$cef-formatted-receive_time deviceExternalId=$serial src=$src dst=$dst sourceTranslatedAddress=$natsrc destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=Destination Zone cs5=$to deviceInboundInterface=$inbound_if deviceOutboundInterface=$outbound_if cs6Label=LogProfile cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt spt=$sport dpt=$dport sourceTranslatedPort=$natsport destinationTranslatedPort=$natdport flexString1Label=Flags flexString1=$flags proto=$proto act=$action flexNumber1Label=Total bytes flexNumber1=$bytes in=$bytes_sent out=$bytes_received cn2Label=Packets cn2=$packets PanOSPacketsReceived=$pkts_received PanOSPacketsSent=$pkts_sent start=$cef-formatted-time_generated cn3Label=Elapsed time in seconds cn3=$elapsed cs2Label=URL Category cs2=$category externalId=$seqno reason=$session_end_reason PanOSDGl1=$dg_hier_level_1 PanOSDGl2=$dg_hier_level_2 PanOSDGl3=$dg_hier_level_3 PanOSDGl4=$dg_hier_level_4 PanOSVsysName=$vsys_name dvchost=$device_name cat=$action_source PanOSActionFlags=$actionflags PanOSSrcUUID=$src_uuid PanOSDstUUID=$dst_uuid PanOSTunnelID=$tunnelid PanOSMonitorTag=$monitortag PanOSParentSessionID=$parent_session_id PanOSParentStartTime=$parent_start_time PanOSTunnelType=$tunnel PanOSSCTPAssocID=$assoc_id PanOSSCTPChunks=$chunks PanOSSCTPChunkSent=$chunks_sent PanOSSCTPChunksRcv=$chunks_received PanOSRuleUUID=$rule_uuid PanOSHTTP2Con=$http2_connection PanLinkChange=$link_change_count PanPolicyID=$policy_id PanLinkDetail=$link_switches PanSDWANCluster=$sdwan_cluster PanSDWANDevice=$sdwan_device_type PanSDWANClustype=$sdwan_cluster_type PanSDWANSite=$sdwan_site PanDynamicUsrgrp=$dynusergroup_name

image.png

 
 

Additional Information


CEF Configuration Guide

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g20uCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language