转发 PA-7000 日志到 Panorama

转发 PA-7000 日志到 Panorama

45348
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM


Symptom


A PAN-OS 8.0中引入的新功能或功能,f或向性 PA-7000 日志到 Panorama 。 PA-7000该系列设备可以像 Panorama 其他 Palo Alto 网络设备一样将其日志转发到日志。


管理员可以通过 PA-7000 增加存储容量 Panorama 或日志收集器来满足其保留要求来增加设备的日志保留。


为满足 7K 的高日志转发率要求,以下更改以 8.0 引入:

发送侧 ( Firewall ):

  • 日志可以直接转发 ,无需本地写入 (仅在 7K 上)。
  • 在给定发送块上打包和 压缩 更多日志。

接收端 Panorama (/日志收集器):

  • 可以将日志 firewall 转发给ALL日志收集器,而不仅仅是日志收集器组中的首选日志收集器。
  • 在 M-100 接收 M-500 日志时,可以分别配置未使用的 1G 和 10G 接口。

拓扑示例. png

  • 在 PA-7000 日志卡接口上,将用于日志转发到 Panorama /LC

PA-7000侧面的变化

  • 为系列引入高速日志F或向向模式( HSFM ) PA-7000 firewall
  • 默认情况下 HSFM 是 OFF
  • 因此 HSFM , 将没有本地记录和报告 ,所有日志将被转发到 Panorama /LC

注意 在此模式下将无法提供摘要、计划报告、计划日志导出和离线索引。

Environment


  • PAN-OS 8.0
  • Panorama
  • PA-7000 系列 PA- (7k 系列)

Resolution


配置: PA-7000

  1. 配置日志转发配置文件并将其应用于安全规则。

logforward. png

  1. 启用高速日志转发
  • 不是 要求 ,但在高日志转发速率环境中推荐

设备>>记录和报告设置设置

高速日志转发. png

 

配置:/ Panorama 日志收集器

  1. 启用日志转发到收集组中的所有日志收集器
  • 不是 要求 ,但在高日志转发速率环境中推荐

Panorama>收藏家组

日志收集器. png

  1. 用 Panorama /日志收集器的多个接口上的日志收集
  • 不是 要求 ,但在高日志转发速率环境中推荐

Panorama >>界面>设置 MGMT

panorama 管理接口.png

  1. 用 Panorama /日志收集器的多个接口上的日志收集
  • 不是 要求 ,但在高日志转发速率环境中推荐

Panorama > ETH1 >界面>设置

Panorama eth1设置.png

 

故障 排除

  • 检查日志收集器首选项
> show log-collector preference-list

Forward to all: Yes

Log collector Preference List

Serial Number: 009201000001 IP Address: 10.0.0.147 IPV6 Address: unknown
Serial Number: 009201000001 IP Address: 10.0.0.101 IPV6 Address: unknown
Serial Number: 009201000002 IP Address: 10.0.0.145 IPV6 Address: unknown
Serial Number: 009201000002 IP Address: 10.0.0.100 IPV6 Address: unknown
  • 每个日志收集器连接的详细日志记录状态
> show logging-status

---------------------------------------------------------------------------------------------------
Type  Last Log Created  Last Log Fwded  Last Seq Num Fwded  Last Seq Num Acked  Total Logs Fwded
---------------------------------------------------------------------------------------------------
Log Collector           : 009201000001
Connection IP           : 10.0.0.101
Conn Source IP          : MS - def, LR -  10.0.0.102
High speed mode         :    Disabled
Connection Status       : MS - Active, LR -  Active
Rate                    :  852 logs/sec
traffic   2016/09/27 15:28:23   2016/09/27 15:28:30      6763581 6763581 206159
threat         Not Available         Not Available                        0                   0
....
Log Collector           : 009201000002
Connection IP           : 10.0.0.145
Conn Source IP          : MS - def, LR -  10.0.0.102
High speed mode         :    Disabled
Connection Status       : MS - Active, LR -  Active
Rate                    :  22602 logs/sec
traffic   2016/09/27 15:28:22   2016/09/27 15:28:23 6758365 6758365 219000   
threat         Not Available         Not Available                        0                   0
....

Additional Information


要了解有关此主题的更多内容或 PAN-OS 一般情况,请查看技术文档 PAN-OS 着陆页面
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClT3CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language