ログコレクターの設定は、パロアルトネットワークファイアウォールではクリアされません
Resolution
問題
パロアルトネットワークファイアウォールがログコレクターにログを転送するように構成されると、設定がそのログコレクターを使用しないように変更された後でも、優先順位はファイアウォールに残ります。
たとえば、パロアルトネットワークデバイスは、IP アドレスが10.128.18.55 された M-100 ログコレクタに接続されていました。
以下は、パロ・アルト・ネットワーク・デバイスのコマンド出力です。
> ログ状態を表示
-----------------------------------------------------------------------------------------------------------------------------
最後に作成されたログ Fwded 最後の seq num Fwded 最後の seq num ack 応答合計ログを入力します Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
CMS 0 に送信していません
> CMS 1
CMS 1 に送信していません
> ログ コレクター
' ログコレクタログ転送エージェント ' はアクティブで、 10.128.18.55 に接続されています。
設定は利用できません 0 0 0
利用できないシステムは利用できません 0 0 0
脅威は利用できません 0 0 0
交通 2014/07/10 17:49:05 2014/07/10 17:49:17 795511 795443 8286
hipmatch 利用できません 0 0 0
> ログの表示-コレクタープリファレンス-リスト
ログコレクターの優先順位リスト
シリアル番号: 003001000638 IP アドレス: 10.128.18.55 IPV6 アドレス:
その後、M-100 ログコレクターは、ログコレクターグループへの変更をコミットせずにネットワークから取り出されました。パロアルトネットワークデバイスの設定は、パノラマに接続するために変更されました-VM の IP アドレスが10.128.18.50 であり、この場合にはログコレクタがありません。パロアルトネットワークデバイスは依然として M-100 ログコレクタ (10.128.18.55) に接続しようとします。この現象は、デバイスを再起動した後も保持されます。
以下は、パロ・アルト・ネットワーク・デバイスでログとコマンド出力です:
> 以下の mp-ログの ms ログ
1月 21 15:27:49エラー: pan_comm_get_tcp_conn_gen (comm_utils c:509): 通信: 接続できません。リモート ip =10.128.18.55ポート = 3978 err = 接続拒否 (111) 靴下 = 14
1月 21 15:27:49エラー: pan_lcsa_tcp_channel_setup (src_panos/lcs_agent: 414): ソケットのログコレクターローカルアドレスを取得できませんでした: 0
> ログの表示-コレクタープリファレンス-リスト
ログコレクターの優先順位リスト
シリアル番号: 003001000638 IP アドレス: 10.128.18.55 IPV6 アドレス:
> ログ状態を表示
-----------------------------------------------------------------------------------------------------------------------------
最後に作成されたログ Fwded 最後の seq num Fwded 最後の seq num ack 応答合計ログを入力します Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
CMS 0 に送信していません
> CMS 1
CMS 1 に送信していません
> ログ コレクター
' ログコレクタログ転送エージェント ' はアクティブですが、接続されていません
設定は利用できません 0 0 0
脅威は利用できません 0 0 0
利用できないトラフィックは利用できません 0 409746 0
hipmatch 利用できません 0 0 0
解決方法
パロアルトネットワークファイアウォールで次の CLI コマンドを実行して、ログコレクターの基本設定リストを削除します。
- ログコレクターの優先順位リストを削除する:
> ログコレクターの優先順位リストを削除します。 - 管理サーバーを再起動する:
> デバッグソフトウェアの再起動管理-サーバー
所有者: ymiyashita