Palo Alto Networks Firewall no expedición registros de Panorama (VM y M-100)

Palo Alto Networks Firewall no expedición registros de Panorama (VM y M-100)

297822
Created On 09/25/18 17:27 PM - Last Modified 05/20/20 21:29 PM


Resolution


Síntoma

Panorama, desplegado como el Palo Alto Networks dispositivo M-100 o como un dispositivo virtual, para recibir registros de firewalls de Palo Alto Networks. Los registros de tráfico y de amenaza pueden verse cuando se mira directamente en los servidores de seguridad, pero no son visibles en el Panorama.

 

Detalles

El firewall de Palo Alto Networks realiza un seguimiento de los registros enviados al Panorama con un número de secuencia. Cuando se reciben los registros, Panorama reconoce el número de secuencia. Si el firewall está conectado a un Panorama diferente (por ejemplo, a un par HA de un Panorama), estos números de secuencia pueden ser sincronizados haciendo que el firewall no reenviar cualquier registro. El proceso de carga de registro también puede ser pegado por un gran volumen de registros enviados a Panorama.

 

Resolución

 

Panorama 6.1, 7.0, 7.1, 8.0

  1. Comprobar el estado actual
    del registro > Mostrar registro-estado número de serie del dispositivo >
  2. Iniciar el reenvío de registro con buffering, a partir de la última ack'ed log ID
    > solicitud log-FWD-Ctrl dispositivo <serial number="">acción Inicio -de-lastack</serial>
  3. Verificar si los logs se reenvían
    > Mostrar dispositivo de estado de registro <serial number="">

    si los logs no se reenvían, haga lo siguiente:</serial>
  4. Asegúrese de que el reenvío de registro está detenido
    > solicitud log-FWD-Ctrl dispositivo <serial number="">detener acción</serial>
  5. Iniciar el reenvío de registro sin buffering (dejar en este estado durante aproximadamente un minuto)
    > solicitud log-FWD-Ctrl dispositivo <serial number="">acción en vivo</serial>
  6. Iniciar el reenvío de registro con buffering
    > solicitud log-FWD-Ctrl número de serie del dispositivo > Inicio de la acción

 

¡Importante! Los caracteres del alfabeto en el número de serie deben ser todos mayúsculas. Por ejemplo:

&gt; solicitud acción 123456 de dispositivo de registro-fwd-ctrl C 0000 en vivo

programar un trabajo con ID 12

 

Si se utilizan minúsculas, se devuelve el siguiente mensaje de error:

&gt; solicitud de acción de dispositivo de registro-fwd-ctrl c 0011 123456 en vivo

Error de servidor: no pudo programar un trabajo para iniciar la sesión ctrl fwd del panorama dispositivo c 0000 123456

 

Confirmar que las políticas de dispositivo se fijan con acción de registro hacia adelante a Panorama.

Si se atasca el registro, reinicie el servicio de receptor de registro con el siguiente comando:

&gt; debug software reinicie registro receptor

Como alternativa, reinicie el servidor de administración (que también se reinicia el servicio de registro-receptor) con el siguiente comando:

&gt; software de depuración reiniciar servidor de administración

 

En pan-os 7,0, 7,1 y 8,0 , por favor utilice el siguiente comando para reiniciar el proceso del servidor de administración:

&gt; depurar software proceso de reinicio del servidor de administración

 

Propietario: swhyte
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFCCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language