問題の状況
パロアルト ネットワークとして展開されるパノラマ、M-100 デバイスまたは仮想アプライアンスとしてパロアルト ネットワーク ファイアウォールからのログを受信を停止します。トラフィックおよび脅威ログ、ファイアウォールを直接見る時は表示できますが、パノラマには表示されません。
詳細
パロ ・ アルトのネットワーク ファイアウォールは、シーケンス番号を持つパノラマに転送ログを追跡します。ログを受信すると、パノラマはシーケンス番号を確認します。ファイアウォールの接続 (たとえば、パノラマの HA ピア) に異なるパノラマこれらのシーケンス番号がない任意のログを転送するようにファイアウォールを引き起こしている同期になります。ログのアップロード プロセスは、パノラマに送信されるログの大音量で立ち往生となってすることができます。
解決方法
パノラマ 6.1 7.0、7.1、8.0
- 現在のログの状態を確認する
> ログの表示-ステータスデバイスのシリアル番号> - バッファリングを使用してログ転送を開始します (最後の ack'ed ログ ID
>要求ログ-fwd-ctrl デバイス<serial number="">アクション開始-lastack</serial> から開始) - ログが転送されているかどうかを確認
する > ログを表示-ステータスデバイス<serial number="">
ログが転送されていない場合は、次の操作を行います。</serial> - ログ転送が停止していることを確認する
> 要求ログ-fwd-ctrl デバイスの<serial number="">動作停止 </serial> - バッファリングを行わずにログ転送を開始する (約1分間この状態を残す)
> 要求ログ-fwd-ctrl デバイス<serial number="">アクションライブ </serial> - バッファリングを使用してログ転送を開始する
> 要求ログ-fwd-ctrl デバイスのシリアル番号>アクションの開始
大事な!シリアル番号のアルファベット文字はすべて大文字にする必要があります。例えば:
> ログ fwd ctrl デバイス 0000 C 123456 アクション ライブ リクエスト
ジョブがジョブ id 12 のスケジュール
小文字の文字を使用する場合は、次のエラー メッセージが返されます。
> ログ fwd ctrl デバイス 0011 c 123456 アクション ライブ リクエスト
サーバー エラー: デバイス 0000 c 123456 にパノラマから fwd ctrl をログオンを行うジョブをスケジュールできませんでした
パノラマにログ アクションを転送とデバイス ポリシーが設定されているを確認します。
ログ取得立ち往生している場合は、次のコマンドでログ受信サービスを再起動します。
> デバッグ ソフトウェアを再起動ログ受信機
また、次のコマンドで (これもログ受信サービスが再起動されます) 管理サーバーを再起動します。
> デバッグ ソフトウェアは、管理サーバーを再起動
PAN-OS 7.0、7.1、および8.0 では、次のコマンドを使用して管理サーバープロセスを再起動してください。
> 管理サーバー ソフトウェアの再起動プロセスのデバッグ
所有者: swhyte