Das Syslog-Serverprofil kann nicht gespeichert werden, und es wird der Fehler "Vorgang fehlgeschlagen: Knoten kann maximal 2048 Zeichen lang sein" angezeigt.
6780
Created On 03/21/23 19:16 PM - Last Modified 02/02/24 06:02 AM
Symptom
- Konfigurieren des Syslog-Serverprofils
- Klicken Sie nach der Konfiguration auf "OK".
- Die Fehlermeldung "Vorgang fehlgeschlagen: Knoten kann maximal 2048 Zeichen lang sein" wird angezeigt
Beispiel: Im folgenden Beispiel hat das Format des Bedrohungsprotokolls eine aktuelle Länge von 2344 Zeichen und es wird eine Fehlermeldung angezeigt.
Environment
- Palo Alto Firewalls oder Panorama
- PAN-OS 10.2.0
- Syslog-Profil
Cause
- Benutzerdefinierte CEF-Protokollformate wurden in der Konfiguration des Syslog-Serverprofils definiert
- Die Länge einiger von ihnen hat die Anzahl der unterstützten Zeichen überschritten (2048)
Resolution
Löschen Sie die nicht druckbaren Zeichen aus dem CEF-Format, die das Problem verursachen.
- STEP 1. Identifizieren Sie den Protokolltyp, der das Problem verursacht. Dies finden Sie im Fenster "Vorgang fehlgeschlagen ", das beim Speichern der Konfiguration des Syslog-Serverprofils angezeigt wird.
- STEP 2. Navigieren Sie im Fenster " Syslog-Serverprofil " zur Registerkarte "Benutzerdefiniertes Protokollformat ", und suchen Sie nach dem entsprechenden Protokolltyp. Klicken Sie auf den Bereich für das Protokollformat, um ihn zu bearbeiten.
- STEP 3. Kopieren Sie im Fenster "Protokollformat bearbeiten" das benutzerdefinierte CEF-Protokollformat, und fügen Sie es in einen Texteditor wie Notepad++ oder Sublime Text ein.
- STEP 4. Aktivieren Sie den Texteditor, um nicht druckbare Zeichen anzuzeigen. Beim direkten Kopieren/Einfügen von CEF-Protokollformaten aus PDF-Handbüchern zur PAN-OS-Integration ist es üblich, dass CR/LF-Zeichen an das Ende jeder Zeile angehängt werden.
Das Verfahren zum Anzeigen nicht druckbarer Zeichen unterscheidet sich von Texteditor zu Texteditor. Navigieren Sie für Notepad++ zu Ansicht > Symbol anzeigen > Alle Zeichen anzeigen.
- STEP 5. Löschen Sie CR/LF-Zeichen manuell mit dem Texteditor und fügen Sie die gelöschte Ausgabe in das Fenster "Protokollformat bearbeiten " ein. Wählen Sie OK aus, um die Änderungen zu speichern, und wählen Sie dann OK im Fenster Syslog-Serverprofil aus.
- STEP 6. Wenn das Problem nach dem Entfernen nicht druckbarer Zeichen weiterhin besteht, müssen einige Felder aus dem Protokoll gelöscht werden, um die Länge auf weniger als 2048 Zeichen zu reduzieren.
In diesem Beispiel wurden die folgenden Felder aus dem Bedrohungsprotokoll entfernt:
PanDstEDL=$dst_edl PanGPHostID=$hostid PanEPSerial=$serialnumber PanSrcDAG=$src_dag PanDstDAG=$dst_dag PanHASessionOwner=$session_owner PanTimeHighRes=$high_res_timestamp PanASServiceType=$nssai_sst PanASServiceDiff=$nssai_sd
Unter Syslog-Feldbeschreibungen finden Sie eine Beschreibung der einzelnen Felder je nach Protokolltyp:
- SCHRITT 7. Fügen Sie die gelöschte Ausgabe in das Fenster "Protokollformat bearbeiten " ein. Wählen Sie OK aus, um die Änderungen zu speichern, und wählen Sie dann OK im Fenster Syslog-Serverprofil aus. Wenn die Länge des CEF-Formatformats weniger als 2048 Zeichen beträgt, sollte die Konfiguration fehlerfrei gespeichert werden.
Additional Information
Die Informationen sind im CEF-Konfigurationshandbuch
dokumentiert Hinweis: Ab Version 10.0 überschreitet das Protokollformat, das für Protokolltypen (Datenverkehr, Bedrohung, URL, Entschlüsselung) dokumentiert ist, die maximal unterstützten 2048 Zeichen auf der Registerkarte Benutzerdefiniertes Protokollformat in der Firewall und im Panorama. Bitte wählen Sie die CEF-Schlüssel und -Werte aus, um die Anzahl der Zeichen gemäß Ihren Anforderungen auf 2048 zu begrenzen.