Palo Alto Networks pare-feu pas transfert des journaux de Panorama (VM et M-100)

Palo Alto Networks pare-feu pas transfert des journaux de Panorama (VM et M-100)

297814
Created On 09/25/18 17:27 PM - Last Modified 05/20/20 21:29 PM


Resolution


Symptôme

Panorama, déployé soit comme le Palo Alto Networks dispositif M-100 ou sous forme d’appliance virtuelle, cesse de recevoir des journaux de Palo Alto Networks firewalls. Le trafic et menace les journaux peut être consulté lorsque la recherche directement sur les pare-feu, mais n’est pas visible sur le Panorama.

 

Détails

Le pare-feu de Palo Alto Networks assure le suivi des logs transmis au Panorama avec un numéro de séquence. Lorsque les journaux sont reçus, Panorama reconnaît le numéro de séquence. Si le pare-feu est connecté à un Panorama différent (par exemple, à un homologue d’un Panorama d’HA), ces numéros de séquence peut désynchroniser causant le pare-feu ne pas transmettre tous les journaux. Le processus de téléchargement de journal peut également bloqué par un grand volume de grumes envoyés à Panorama.

 

Résolution

 

Panorama, 6.1, 7.1, 7.0, 8.0

  1. Vérifier l'état de journalisation actuelle
    > Afficher l'enregistrement-État du périphérique numéro de série>
  2. Démarrer le journal de transfert avec la mise en mémoire tampon, à partir de la dernière ack'ed log ID
    > Request log-FWD-Ctrl <serial number="">action de départ-de-lastack</serial>
  3. Vérifiez si les journaux sont transférés
    > Afficher l'enregistrement-État périphérique <serial number="">

    si les journaux ne sont pas transférés, faites ce qui suit:</serial>
  4. Assurez-vous que l'acheminement des journaux est arrêté
    > demande log-FWD-Ctrl <serial number="">arrêt d'action</serial> du périphérique
  5. Démarrez l'acheminement du journal sans mise en mémoire tampon (laissez dans cet État pendant environ une minute)
    > demande log-FWD-Ctrl Device <serial number="">action Live </serial>
  6. Démarrer le transfert de journal avec la mise en mémoire tampon
    > demande log-FWD-Ctrl Device numéro de série> action Start

 

Important! Les caractères alphabétiques dans le numéro de série doivent être tous les majuscules. Par exemple :

> demande appareils de journal-fwd-ctrl C 0000 123456 action en direct

à la demande d’un emploi avec jobid 12

 

Si l'on utilise des caractères minuscules, puis le message d’erreur suivant est retourné :

> demande journal-fwd-ctrl appareils 0011c 123456 action en direct

Erreur de serveur : impossible de planifier un travail pour ouvrir une session fwd ctrl du panorama dispositif c 0000 123456

 

Confirmer que les stratégies de dispositif sont définies avec l’action de journaux vers l’avant à Panorama.

Si la journalisation est bloquée, redémarrez le service de journal-récepteur avec la commande suivante :

&gt; logiciel de débogage redémarrer journal-récepteur

Vous pouvez également redémarrer le serveur d’administration (qui également redémarre le service de journal-récepteur) avec la commande suivante :

&gt; logiciel de débogage redémarrer le serveur d’administration

 

Sur Pan-OS 7,0, 7,1 et 8,0 , veuillez utiliser la commande suivante pour redémarrer le processus du serveur d'administration:

> déboguer redémarrage logiciel gestion-huissier

 

propriétaire : swhyte
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFCCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language