Bedrohungsprotokolle sind auf dem GUI Syslog-Server sichtbar, werden aber nicht an den Syslog-Server weitergeleitet
7313
Created On 05/24/21 07:59 AM - Last Modified 03/02/23 03:58 AM
Symptom
- Mit Sicherheitsprofil konfigurierte Sicherheit Policy
- Bedrohungsereignisse werden unter Bedrohungsprotokolle angezeigt
- Dieselben Ereignisse/Protokolle werden nicht an den konfigurierten Syslog-Server weitergeleitet
Environment
- Palo Alto Firewalls.
- PAN-OS 9.0 und höher.
- Sicherheitsprofile konfiguriert.
Cause
- Nicht alle Bedrohungsprotokolle werden durch Datenverkehr generiert, der den Sicherheitsrichtlinien (und den entsprechenden Sicherheitsprofilen) entspricht.
- Beispiel: Die "Scan"-Protokolle werden vom konfigurierten Zonenschutzprofil generiert.
Resolution
Um sicherzustellen, dass alle Bedrohungsprotokolle weitergeleitet werden, müssen die folgenden Einstellungen konfiguriert werden:
- A Protokollweiterleitungsprofil zum Weiterleiten der Bedrohungsprotokolle, die durch Datenverkehr generiert werden, der den Sicherheitsrichtlinien entspricht, das unter GUIkonfiguriert ist: Objekte > Protokollweiterleitung
- Verweisen Sie auf dasselbe Protokollweiterleitungsprofil unter den Netzwerkzonen, die mit Zonenschutzprofilen konfiguriert sind, das unter GUINetzwerk- > Zonen > (ZoneName) > Protokolleinstellung konfiguriert ist.
- Übernehmen Sie die Änderungen. Alle Bedrohungsprotokolle werden nun weitergeleitet.