Änderung der Menge, Größe und Höhe der Protokolle im ESM und fallen Agent
Resolution
Fallen 3.1.2
Übersicht
Der ESM-Kerndienst, die ESM-Webkonsole, der Traps-Agent-Service und die Traps-Agent-Konsole protokollieren zehn 5MB-Log-Dateien mit "Debug"-Nachrichten als minimale Protokollierung standardmäßig.
Da mehr Endpunkte installiert und mehr Funktionen aktiviert werden (insbesondere Wildfire-Integration), wird eine größere Anzahl von Protokollen regelmäßig vom Agenten (am Endpunkt) und dem Kern und der Konsole (auf den Servern) erstellt. Dies führt dazu, dass die Protokolle sehr kurzlebig sind und für Probleme, die vor einigen Tagen protokolliert wurden, nicht relevant sind.
Server-Log-Standorte:
- Auf ESM-Core-Servern befinden sich die Server-Protokolle in %ProgramData%\cyvera\logs und werden "Server. log" genannt (ältere Protokolle werden in "Server. 0. log" umbenannt, "Server. 1. log"... "Server. 9. log")
- Auf ESM-Konsolen Servern befinden sich die Weblogs in %ProgramData%\cyvera\logs und werden "debugweb. log" genannt (ältere Protokolle werden in "debugweb. 0. log" umbenannt, "debugweb. 1. log"... "debugweb. 9. log")
- Am Endpunkt befinden sich fallen-Service-Protokolle in %ProgramData%\cyvera\logs und werden "Service. log" genannt (ältere Protokolle werden in "Service. 0. log" umbenannt, "Service. 1. log"... "Service. 9. log")
- Am Endpunkt befinden sich fallen Agent Console Logs in %UserProfile%\appdata\roaming\cyvera\logs und werden "Console. log" genannt (ältere Protokolle werden in "Console. 0. log" umbenannt, "Console. 1. log"... "Konsole. 9. log")
Details
Es wird empfohlen, wenn möglich, die Menge und Größe der Protokolle zu erhöhen, die bei der Aktivierung von "hohen Protokollierungsfunktionen" erstellt wurden. Darüber hinaus kann in einer stabilen Umgebung die Protokollierungsebene angehoben werden, damit weniger Protokolle in der Log-Datei geschrieben werden können und im Gegenzug länger anhaltende Protokolldateien erstellt werden.
Hinweis: bei der Anhebung des minimalen Niveaus der Protokollierung werden einige Probleme vielleicht gar nicht protokolliert!
Die Konfiguration der Menge, Größe und Ebene der Protokollierung hat keine UI-Darstellung, kann aber durch die Bearbeitung bestimmter XML-Dateien geändert werden.
- ESM Core Server Logs:
die XML-Datei befindet sich unter: %ProgramFiles%\palo Alto networks\endpunkt Security manager\server und heißt cyveraserver. exe. nlog - ESM-Konsole debugweb Logs:
die XML-Datei befindet sich unter: %ProgramFiles%\palo Alto networks\endpunkt Security manager\web und heißt Web. config - Traps Agent Service Logs:
die XML-Datei befindet sich unter: %ProgramFiles%\palo Alto networks\fallen und heißt cyveraservice. exe. nlog - Fallen Agent Console Logs:
die XML-Datei befindet sich bei: %ProgramFiles%\palo Alto networks\fallen und heißt cyveraconsole. exe. nlog
Beim Öffnen der XML-Datei wird folgender Eintrag enthüllt:
Hinweis: Dieses Beispiel wird aus der ESM-Server-Log-Konfigurationsdatei entnommen.
<targets asyn="true"></targets>
<target name="file" name="file"></target name="file">
xsi: Type = "file"
Dateiname = "$ {SpecialFolder: Ordner = CommonApplicationData}\cyvera\logs\server.log"
maxarchivefiles = "10"
archiveabovesize = "50000000"
archivenumbering = "Rolling"
Layout = "$ {longDate} $ {Level: Großbuchstaben = true} $ {ProcessName} ($ {ThreadId}) $ {Logger} $ {Message} $ {Exception: innerformat = ToString: Format = ToString}"
/>
Und tiefer in der Datei:
<rules></rules>
<logger name="*" minlevel="Debug" writeto="file"></logger>
Verwendung
- Die Bearbeitung der "maxarchivefiles" wird die Menge der erstellten Dateien (halten der Konvention von "Server. XX. log "als Dateiname)
- Die Bearbeitung der "archiveabovesize" wird die Größenbegrenzung jeder Log-Datei festlegen (Wert ist in Bytes)
- Durch die Bearbeitung des "minlevel ="-Eintrags wird die minimale Protokollierung im Log geändert-die Optionen sind: Trace, Debug, Info, warnen, Error.
Wichtig! der Neustart des entsprechenden Dienstes (fallen, ESM oder IIS) ist erforderlich, damit die Änderungen wirksam werden.