No se puede guardar el perfil del servidor Syslog con el error "Error de operación: el nodo puede tener como máximo 2048 caracteres"
6778
Created On 03/21/23 19:16 PM - Last Modified 02/02/24 06:02 AM
Symptom
- Configurar el perfil del servidor Syslog
- Haga clic en "Aceptar" después de la configuración.
- Se muestra el mensaje de error "Error de operación: el nodo puede tener como máximo 2048 caracteres"
Ejemplo: En el ejemplo siguiente, el formato del registro de amenazas tiene una longitud actual de 2344 caracteres y se muestra un mensaje de error.
Environment
- Cortafuegos de Palo Alto o Panorama
- PAN-OS 10.2.0
- Perfil de Syslog
Cause
- Los formatos de registro personalizados de CEF se han definido dentro de la configuración del perfil del servidor syslog
- La longitud de algunos de ellos ha superado el número de caracteres admitidos (2048)
Resolution
Elimine los caracteres no imprimibles del formato de estilo CEF que causa el problema.
- PASO 1. Identifique el tipo de registro que causa el problema. Esto se puede encontrar en la ventana Error de operación que se recibe al intentar guardar la configuración del perfil del servidor Syslog .
- PASO 2. En la ventana Perfil del servidor Syslog , vaya a la pestaña Formato de registro personalizado y busque el tipo de registro en cuestión. Haga clic en el área de formato de registro para editar.
- PASO 3. En la ventana Editar formato de registro, copie el formato de registro personalizado CEF y péguelo en un editor de texto como Bloc de notas++ o Sublime Text.
- PASO 4. Habilite el editor de texto para mostrar caracteres no imprimibles. Al copiar/pegar directamente los formatos de registro CEF de las guías PDF de integración de PAN-OS, es común ver caracteres CR/LF agregados al final de cada línea.
El proceso para mostrar caracteres no imprimibles es diferente entre los editores de texto. Para Notepad++, vaya a Ver > Mostrar símbolo > Mostrar todos los caracteres.
- PASO 5. Elimine manualmente los caracteres CR/LF con el editor de texto y pegue la salida borrada en la ventana Editar formato de registro . Seleccione Aceptar para guardar los cambios y, a continuación, seleccione Aceptar en la ventana Perfil del servidor de Syslog.
- PASO 6. Si el problema persiste después de eliminar caracteres no imprimibles, será necesario eliminar algunos campos del registro para seguir reduciendo la longitud a menos de 2048 caracteres.
En este ejemplo, se eliminaron los siguientes campos del registro de amenazas:
PanDstEDL=$dst_edl PanGPHostID=$hostid PanEPSerial=$serialnumber PanSrcDAG=$src_dag PanDstDAG=$dst_dag PanHASessionOwner=$session_owner PanTimeHighRes=$high_res_timestamp PanASServiceType=$nssai_sst PanASServiceDiff=$nssai_sd
Consulte las descripciones de los campos de Syslog para obtener una descripción de cada campo según el tipo de registro:
- PASO 7. Pegue la salida borrada en la ventana Editar formato de registro . Seleccione Aceptar para guardar los cambios y, a continuación, seleccione Aceptar en la ventana Perfil del servidor de Syslog. Si la longitud del formato de estilo CEF es inferior a 2048 caracteres, la configuración debe guardarse sin errores.
Additional Information
La información se documenta en la Guía
de configuración de CEFNota: A partir de la versión 10.0, el formato de registro documentado para los tipos de registro (Tráfico, Amenaza, URL, Desencriptado) supera el máximo admitido de 2048 caracteres en la pestaña Formato de registro personalizado en el firewall y Panorama. Seleccione las claves y los valores CEF para limitar el número de caracteres a 2048 según sus requisitos.