Impossible d’enregistrer le profil du serveur Syslog avec l’erreur « Échec de l’opération : le nœud peut comporter au maximum 2048 caractères »
6786
Created On 03/21/23 19:16 PM - Last Modified 02/02/24 06:02 AM
Symptom
- Configurer le profil du serveur Syslog
- Cliquez sur « OK » après la configuration.
- Le message d’erreur « Échec de l’opération : le nœud peut comporter au maximum 2048 caractères » s’affiche
Exemple : dans l’exemple ci-dessous, le format du journal des menaces a une longueur actuelle de 2344 caractères et un message d’erreur s’affiche.
Environment
- Pare-feu ou Panorama de Palo Alto
- PAN-OS 10.2.0
- Profil Syslog
Cause
- Des formats de journaux personnalisés CEF ont été définis dans la configuration du profil du serveur syslog
- La longueur de certains d’entre eux a dépassé le nombre de caractères pris en charge (2048)
Resolution
Supprimez les caractères non imprimables du format de style CEF à l’origine du problème.
- ÉTAPE 1. Identifiez le type de journal à l’origine du problème. Cela se trouve dans la fenêtre Échec de l’opération reçue lors de la tentative d’enregistrement de la configuration du profil du serveur Syslog .
- ÉTAPE 2. Dans la fenêtre Profil du serveur Syslog , accédez à l’onglet Format de journal personnalisé et recherchez le type de journal à portée de main. Cliquez sur la zone de format du journal pour la modifier.
- ÉTAPE 3. Dans la fenêtre Modifier le format du journal, copiez le format de journal personnalisé CEF et collez-le dans un éditeur de texte tel que Notepad++ ou Sublime Text.
- ÉTAPE 4. Activez l’éditeur de texte pour afficher les caractères non imprimables. Lorsque vous copiez/collez directement des formats de journal CEF à partir de guides PDF d’intégration PAN-OS, il est courant de voir des caractères CR/LF ajoutés à la fin de chaque ligne.
Le processus d’affichage des caractères non imprimables est différent d’un éditeur de texte à l’autre. Pour Notepad++, accédez à Afficher > Afficher le symbole > Afficher tous les caractères.
- ÉTAPE 5. Supprimez manuellement les caractères CR/LF à l’aide de l’éditeur de texte et collez la sortie effacée dans la fenêtre Modifier le format du journal . Sélectionnez OK pour enregistrer les modifications, puis sélectionnez OK dans la fenêtre Profil du serveur Syslog.
- ÉTAPE 6. Si le problème persiste après la suppression des caractères non imprimables, il sera nécessaire de supprimer certains champs du journal pour continuer à réduire la longueur à moins de 2048 caractères.
Dans cet exemple, les champs suivants ont été supprimés du journal des menaces :
PanDstEDL=$dst_edl PanGPHostID=$hostid PanEPSerial=$serialnumber PanSrcDAG=$src_dag PanDstDAG=$dst_dag PanHASessionOwner=$session_owner PanTimeHighRes=$high_res_timestamp PanASServiceType=$nssai_sst PanASServiceDiff=$nssai_sd
Reportez-vous à la section Descriptions des champs Syslog pour obtenir la description de chaque champ en fonction du type de journal :
- ÉTAPE 7. Collez la sortie effacée dans la fenêtre Modifier le format du journal . Sélectionnez OK pour enregistrer les modifications, puis sélectionnez OK dans la fenêtre Profil du serveur Syslog. Si la longueur du format de style CEF est inférieure à 2048 caractères, la configuration doit être enregistrée sans erreur.
Additional Information
Remarque : À partir de la version 10.0, le format de journal documenté pour les types de journaux (Trafic, Menace, URL, Déchiffrement) dépasse le nombre maximal de 2048 caractères pris en charge dans l’onglet Format de journal personnalisé du pare-feu et de Panorama.
Veuillez sélectionner les clés et les valeurs CEF pour limiter le nombre de caractères à 2048 selon vos besoins.