Wie kann ich das Debuggen auf einem einzelnen VPN Peer aktivieren?

Ab PAN-OS 8.0 können wir VPN IPSec-spezifische Debugs pro Peer aktivieren:

Vor PAN-OS 8.0

admin@PA-VM-7.1> debug ike 
 > global   global 
 > pcap     pcap 
 > socket   socket 
 > stat     show IKE daemon statistics

Nach- PAN-OS 8.0

admin@PA-VM-8.0> debug ike
> gateway   debug IKE gateway
> global    global
> pcap      pcap
> socket    socket
> stat      show IKE daemon statistics
> tunnel    debug IPSec tunnel

Mit dem Schlüsselwort " Gateway " oder " tunnel " können Sie die Protokolle pro VPN Gateway oder Tunnel aktivieren IPSEC

Beispiel:

admin@PA-VM-8.0> debug ike gateway IKE-GW-HQ
> clear   clear IPSec tunnel statistics
> off     Turn off IPSec tunnel debug logging
> on      Turn on IPSec tunnel debug logging
> stats   show IPSec tunnel statistics

admin@PA-VM-8.0> debug ike gateway IPSEC-HQ 
> clear   clear IPSec tunnel statistics
> off     Turn off IPSec tunnel debug logging
> on      Turn on IPSec tunnel debug logging
> stats   show IPSec tunnel statistics

Um die aktuell aktivierten Einstellungen zu deaktivieren, verwenden Sie:

admin@PA-VM-8.0> debug ike gateway <name> off

Um die aktuellen Debugeinstellungen anzuzeigen, verwenden Sie:

admin@PA-VM-8.0> debug ike global show  => The default settings are generally set to normal mode

Die Protokolle werden in ikemgr gespeichert.log und können mit dem Befehl "weniger mp-log ikemgr.log" angezeigt werden.