Log-Collector-Einstellung wird auf der Palo Alto Networks Firewall nicht klar

Problem

Sobald Palo Alto Networks Firewall so konfiguriert ist, dass Sie Protokolle an einen Log-Sammler weiterleiten, bleibt die Präferenz auf der Firewall, auch wenn das Setup geändert wird, um diesen Log-Sammler nicht zu verwenden.

Zum Beispiel wurde ein Palo Alto Networks-Gerät an M-100 Log Collector angeschlossen, dessen IP-Adresse 10.128.18.55 wurde.

Die Follower sind die Befehlsausgabe auf Palo Alto Networks Gerät.

> Protokollierung-Status anzeigen

-----------------------------------------------------------------------------------------------------------------------------

      Typ Last log erstellt letzte Log-Fwded letzte SEQ num Fwded letzte SEQ num Acked Gesamt-Protokolle Fwded

-----------------------------------------------------------------------------------------------------------------------------

> CMS 0

        Nicht senden an CMS 0

> CMS 1

        Nicht senden an CMS 1

> Log Collector

"Log Collector Log Forwarding Agent" ist aktiv und mit 10.128.18.55 verbunden .

    config nicht verfügbar 0 0 0

    System nicht verfügbar 0 0 0

    Drohung nicht verfügbar nicht verfügbar 0 0 0

   Verkehr 2014/07/10 17:49:05 2014/07/10 17:49:17 795511 795443 8286

  hipmatch nicht verfügbar 0 0 0

> Log-Collector-Präferenz-Liste anzeigen

Log Collector Präferenz Liste

SerienNummer: 003001000638 IP-Adresse: 10.128.18.55 IPV6-Adresse:

Dann wurde der M-100-Log-Sammler aus dem Netzwerk genommen, ohne die Änderungen an der Log-Collector-Gruppe zu begehen. Die Einstellung von Palo Alto Networks-Gerät wurde geändert, um sich mit Panorama-VM zu verbinden, dessen IP-Adresse 10.128.18.50 ist und es in diesem Fall keinen Log-Sammler gibt. Das Gerät Palo Alto Networks versucht noch, sich mit dem M-100 Log Collector (10.128.18.55) zu verbinden. Dieses Symptom bleibt auch nach dem Neustart des Gerätes bestehen.

Die folgenden sind Protokolle und Befehlsausgabe auf Palo Alto Networks Gerät:

> weniger MP-Log ms. log

Jan 21 15:27:49 Error: pan_comm_get_tcp_conn_gen (comm_utils. c:509): COMM: kann nicht verbinden. Remote IP =10.128.18.55 Port = 3978 Err = Connection verweigert (111) Sock = 14

Jan 21 15:27:49 Fehler: pan_lcsa_tcp_channel_setup (src_panos/lcs_agent. c: 414): konnte die logkollektor-lokal Adresse für Socket nicht erhalten: 0

> Log-Collector-Präferenz-Liste anzeigen

Log Collector Präferenz Liste

SerienNummer: 003001000638 IP-Adresse: 10.128.18.55 IPv6-Adresse:

> Protokollierung-Status anzeigen

-----------------------------------------------------------------------------------------------------------------------------

      Typ Last log erstellt letzte Log-Fwded letzte SEQ num Fwded letzte SEQ num Acked Gesamt-Protokolle Fwded

-----------------------------------------------------------------------------------------------------------------------------

> CMS 0

        Nicht senden an CMS 0

> CMS 1

        Nicht senden an CMS 1

> Log Collector

"Log-Collector-Log-Spediteur" ist aktiv, aber nicht verbunden

    config nicht verfügbar 0 0 0

    Drohung nicht verfügbar nicht verfügbar 0 0 0

   Verkehr nicht verfügbar 0 409746 0

  hipmatch nicht verfügbar 0 0 0

Lösung

Führen Sie folgende CLI-Befehle auf der Palo Alto Networks Firewall aus, um die Log-Collector-Präferenz Liste zu löschen:

1. Löschen Sie die Log-Collector-Präferenz Liste:
   > Log-Collector- Präferenz-Liste löschen
2. Neustart des Management-Servers:
   > Debug-Software Neustart Management -Server

Besitzer: ymiyashita