Log-Collector-Einstellung wird auf der Palo Alto Networks Firewall nicht klar
Resolution
Problem
Sobald Palo Alto Networks Firewall so konfiguriert ist, dass Sie Protokolle an einen Log-Sammler weiterleiten, bleibt die Präferenz auf der Firewall, auch wenn das Setup geändert wird, um diesen Log-Sammler nicht zu verwenden.
Zum Beispiel wurde ein Palo Alto Networks-Gerät an M-100 Log Collector angeschlossen, dessen IP-Adresse 10.128.18.55 wurde.
Die Follower sind die Befehlsausgabe auf Palo Alto Networks Gerät.
> Protokollierung-Status anzeigen
-----------------------------------------------------------------------------------------------------------------------------
Typ Last log erstellt letzte Log-Fwded letzte SEQ num Fwded letzte SEQ num Acked Gesamt-Protokolle Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Nicht senden an CMS 0
> CMS 1
Nicht senden an CMS 1
> Log Collector
"Log Collector Log Forwarding Agent" ist aktiv und mit 10.128.18.55 verbunden .
config nicht verfügbar 0 0 0
System nicht verfügbar 0 0 0
Drohung nicht verfügbar nicht verfügbar 0 0 0
Verkehr 2014/07/10 17:49:05 2014/07/10 17:49:17 795511 795443 8286
hipmatch nicht verfügbar 0 0 0
> Log-Collector-Präferenz-Liste anzeigen
Log Collector Präferenz Liste
SerienNummer: 003001000638 IP-Adresse: 10.128.18.55 IPV6-Adresse:
Dann wurde der M-100-Log-Sammler aus dem Netzwerk genommen, ohne die Änderungen an der Log-Collector-Gruppe zu begehen. Die Einstellung von Palo Alto Networks-Gerät wurde geändert, um sich mit Panorama-VM zu verbinden, dessen IP-Adresse 10.128.18.50 ist und es in diesem Fall keinen Log-Sammler gibt. Das Gerät Palo Alto Networks versucht noch, sich mit dem M-100 Log Collector (10.128.18.55) zu verbinden. Dieses Symptom bleibt auch nach dem Neustart des Gerätes bestehen.
Die folgenden sind Protokolle und Befehlsausgabe auf Palo Alto Networks Gerät:
> weniger MP-Log ms. log
Jan 21 15:27:49 Error: pan_comm_get_tcp_conn_gen (comm_utils. c:509): COMM: kann nicht verbinden. Remote IP =10.128.18.55 Port = 3978 Err = Connection verweigert (111) Sock = 14
Jan 21 15:27:49 Fehler: pan_lcsa_tcp_channel_setup (src_panos/lcs_agent. c: 414): konnte die logkollektor-lokal Adresse für Socket nicht erhalten: 0
> Log-Collector-Präferenz-Liste anzeigen
Log Collector Präferenz Liste
SerienNummer: 003001000638 IP-Adresse: 10.128.18.55 IPv6-Adresse:
> Protokollierung-Status anzeigen
-----------------------------------------------------------------------------------------------------------------------------
Typ Last log erstellt letzte Log-Fwded letzte SEQ num Fwded letzte SEQ num Acked Gesamt-Protokolle Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Nicht senden an CMS 0
> CMS 1
Nicht senden an CMS 1
> Log Collector
"Log-Collector-Log-Spediteur" ist aktiv, aber nicht verbunden
config nicht verfügbar 0 0 0
Drohung nicht verfügbar nicht verfügbar 0 0 0
Verkehr nicht verfügbar 0 409746 0
hipmatch nicht verfügbar 0 0 0
Lösung
Führen Sie folgende CLI-Befehle auf der Palo Alto Networks Firewall aus, um die Log-Collector-Präferenz Liste zu löschen:
- Löschen Sie die Log-Collector-Präferenz Liste:
> Log-Collector- Präferenz-Liste löschen - Neustart des Management-Servers:
> Debug-Software Neustart Management -Server
Besitzer: ymiyashita