Le paramètre de collecteur de journal ne s'efface pas sur le pare-feu Palo Alto Networks
Resolution
Demande client
Une fois que le pare-feu de Palo Alto Networks est configuré pour transférer les journaux vers un collecteur de journaux, la préférence reste sur le pare-feu même après que le programme d'installation a été modifié pour ne pas utiliser ce collecteur de journaux.
Par exemple, un appareil de Palo Alto Networks a été connecté à M-100 log Collector dont l'adresse IP a été 10.128.18.55.
Les suivants sont la sortie de commande sur le dispositif de réseaux de Palo Alto.
> Afficher l’état de l’exploitation forestière
-----------------------------------------------------------------------------------------------------------------------------
Type dernier journal créé dernier journal Fwded dernier SEQ num Fwded Last SEQ num acked total logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Ne pas envoyer à CMS 0
> CMS 1
Ne pas envoyer à CMS 1
> Log Collector
'L'agent de transfert log Collector'est actif et connecté à 10.128.18.55
config non disponible non disponible 0 0 0
système non disponible non disponible 0 0 0
menace non disponible non disponible 0 0 0
Traffic 2014/07/10 17:49:05 2014/07/10 17:49:17 795511 795443 8286
hipmatch non disponible non disponible 0 0 0
> Show-liste des préférences du collecteur
Liste des préférences du collecteur de journaux
Numéro de série: 003001000638 adresse IP: 10.128.18.55 adresse IPV6:
Ensuite, le collecteur de journaux M-100 a été retiré du réseau sans commettre les modifications au groupe de collecteur de journaux. Le réglage de l'appareil de Palo Alto Networks a été changé pour se connecter à Panorama-VM qui adresse IP est 10.128.18.50 et il n'y a pas de collecteur de journal dans ce cas. L'appareil de Palo Alto Networks tente toujours de se connecter au collecteur de journaux M-100 (10.128.18.55). Ce symptôme persiste même après le redémarrage du périphérique.
Ce qui suit sont les journaux et la sortie de commande sur Palo Alto Networks Device:
> moins MP-log ms. log
Jan 21 15:27:49 erreur: pan_comm_get_tcp_conn_gen (comm_utils. c:509): COMM: impossible de se connecter. Remote IP =10.128.18.55 port = 3978 Err = connexion refusée (111) sock = 14
Jan 21 15:27:49 erreur: pan_lcsa_tcp_channel_setup (src_panos/lcs_agent. c: 414): impossible d'obtenir l'adresse locale du collecteur de journal pour Socket: 0
> Show-liste des préférences du collecteur
Liste des préférences du collecteur de journaux
Numéro de série: 003001000638 adresse IP: 10.128.18.55 adresse IPv6:
> Afficher l’état de l’exploitation forestière
-----------------------------------------------------------------------------------------------------------------------------
Type dernier journal créé dernier journal Fwded dernier SEQ num Fwded Last SEQ num acked total logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Ne pas envoyer à CMS 0
> CMS 1
Ne pas envoyer à CMS 1
> Log Collector
'L'agent de transfert log Collector'est actif mais non connecté
config non disponible non disponible 0 0 0
menace non disponible non disponible 0 0 0
trafic non disponible non disponible 0 409746 0
hipmatch non disponible non disponible 0 0 0
Résolution
Exécutez les commandes CLI suivantes sur le pare-feu de Palo Alto Networks pour supprimer la liste de préférences du collecteur de journaux:
- Supprimer la liste de préférences du collecteur de journaux:
> Delete log- préférences Collector-liste - Redémarrer le serveur d'administration:
> Debug Software restart Management-Server
propriétaire: ymiyashita