• Support
  • Forums
  • Blogs

Error AlienVault HIDS: Non standard syslog message (size too large)

Gustavo_TesilloGustavo_Tesillo

New Life Form

Buenas tardes. 

Actualmente tengo un OSSIM registrando eventos pero los correspondientes al Fortigate versión 5 me están apareciendo algunos con el siguiente nombre:

AlienVault HIDS: Non standard syslog message (size too large).


AV - Alert - "1496439255" --> RID: "1003"; RL: "13"; RG: "syslog,errors,"; RC: "Non standard syslog message (size too large)."; USER: "None";
SRCIP: "None"; HOSTNAME: "10.25.35.222"; LOCATION: "/var/log/syslog"; EVENT: "[INIT]Jun  2 16:34:13 10.25.35.222 date=2017-06-02 time=16:34:13
devname=SISBGFW01 devid=FG100D3G15827995 logid=0317013312 type=utm subtype=webfilter eventtype=ftgd_allow level=notice vd=FW-SISA policyid=122 sessionid=66510977 user="MAURICIO.RUIZ" group="BASICO_CON_STREAMING" srcip=10.25.38.204 srcport=52645 srcintf="INSIDE SISA" dstip=34.224.42.161 dstport=80 dstintf="OUTSIDE-SISA" proto=6 service="HTTP" hostname="adrta.com" profile="BASICO_CON_STREAMING" action=passthrough reqtype=referral url="/i cb=21994395&__aasv=15.95&__aaii=54577700697670264&__aait=1496439252011&__aasi=37364028605192654&__aast=1496439251672&__aavi=5779749101553671&__aavt=1490483714865&__aavz=300&__aaib=0&__aaai=1&__aaaa=0&__aafl=0&__aaaf=1&__aaag=1&__aaax=0&__aaay=0&__aasz=468x60&__aapf=0&__aaup=2&__aaat=0&__aaae=0&__aaav=0&__aaas=1005&__aaah=0&__aapc=0&__aaph=0&__aapw=0&__aap1=0&__aap2=0&__aap3=0&__aap4=0&__aap5=0&__aass=1366x768&__aaim=1&__aacb=zXYgpEqDDmLbCdWLwnr8OVAxh2KI81t%20BKJZH655AmU%3D&__aaxf=186.155.247.34" referralurl="http://tpc.googlesyndication.com/safeframe/1-0-8/html/container.html" sentbyte=3426 rcvdbyte=454 direction=outgoing msg="URL belongs to an allowed category in policy" method=domain cat=49 catdesc="Business"[END]";


Tengo entendido que el error se debe a que el máxima longitud de la regla es de 1025 bytes y esta superando esa longitud.

Como hago o cual seria el procedimiento para modificar la regla o evitar este tipo de errores??



Share post:

Sign In or Register to comment.