帕洛阿尔托网络防火墙不转发日志全景 （VM 和 M-100）

症状

作为要么帕洛阿尔托网络部署的全景，M-100 设备或虚拟设备，作为停止接收日志从帕洛阿尔托网络防火墙。交通和威胁日志时看直接在防火墙上，可以查看，但并不可见的全景。

详细

帕洛阿尔托网络防火墙跟踪的日志序列号与转发到全景。当收到的日志时，全景承认的序列号。如果防火墙连接到不同的全景图 （例如，一个全景医管局等），这些序列号可以变得不同步导致防火墙不以转发任何日志。日志上载过程也可以通过大量的日志发送到全景被卡住了。

解决办法

全景图 6.1，7.0、7.1、8.0

1. 检查当前日志记录状态
   > 显示日志记录-状态设备序列号>
2. 启动带有缓冲的日志转发, 从上次 ack 日志 ID 开始-
   请求日志-前进-ctrl 设备<serial number="">操作启动-lastack </serial>
3. 验证是否正在转发日志
   >> 显示日志记录状态设备<serial number="">
   
   如果未转发日志, 请执行以下操作: </serial>
4. 请确保已停止日志转发
   >> 请求日志-前进-ctrl 设备<serial number="">操作停止 </serial>
5. 启动没有缓冲的日志转发 (在该状态下保持大约一分钟)
   >> 请求日志-前进-ctrl 设备<serial number="">操作实时 </serial>
6. 启动带缓冲的日志转发
   >> 请求日志-前进-ctrl 设备序列号>动作开始

重要！序列号中的字母字符必须是大写大小写. 例如：

> 请求日志 fwd ctrl 设备 0000 C 123456 行动生活

计划作业与 jobid 12

如果使用小写字符，然后返回以下错误消息：

> 请求日志 fwd ctrl 设备 0011 c 123456 行动生活

服务器错误： 未能安排一份工作来做登录 fwd ctrl 从全景到设备 0000 c 123456

确认设备策略设置与日志操作前进到全景。

如果卡住了日志记录，请重新启动日志接收机服务用下面的命令：

> 调试软件重新启动日志接收机

或者，用以下命令重新启动管理服务器 （它也重新启动日志接收机服务）：

> 调试软件重新启动管理服务器

在PAN OS 7.0、7.1 和8.0 上, 请使用以下命令重新启动管理服务器进程:

> 调试软件重新启动进程管理服务器

所有者： swhyte