在帕洛阿尔托网络防火墙上不清除日志收集器设置
Resolution
问题
一旦帕洛阿尔托网络防火墙配置为将日志转发到日志收集器, 即使安装程序被更改为不使用该日志收集器, 该首选项仍保留在防火墙上。
例如, 帕洛阿尔托网络设备连接到 M-100 日志收集器, IP 地址为10.128.18.55。
下面是帕洛阿尔托网络设备上的命令输出。
> 显示日志记录状态
-----------------------------------------------------------------------------------------------------------------------------
键入上一个日志创建最后一个日志 Fwded 最后一个序列 num Fwded 最后一个序列数 Acked 总日志 Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
不发送到 CMS 0
> CMS 1
不发送到 CMS 1
> 日志收集器
"日志收集器日志转发代理" 处于活动状态, 并已连接到 10.128.18.55
配置不可用 0 0 0
系统不可用 0 0 0
不可用的威胁 0 0 0
交通 2014/07/10 17:49:05 2014/07/10 17:49:17 795511 795443 8286
hipmatch 不可用 0 0 0
>> 显示日志收集器首选项列表
日志收集器首选项列表
编号: 003001000638 IP 地址: 10.128.18.55 IPV6 地址:
然后, M-100 日志收集器被从网络中带走, 而不向日志收集器组提交更改。帕洛阿尔托网络设备的设置被更改为连接到全景 VM, IP 地址是10.128.18.50 的, 在这种情况下没有日志收集器。帕洛阿尔托网络设备仍试图连接到 M-100 日志收集器 (10.128.18.55)。即使在重新启动设备后, 此症状仍然存在。
以下是帕洛阿尔托网络设备上的日志和命令输出:
>> 少 mp 日志 ms.log
1月21日 15:27:49错误: pan_comm_get_tcp_conn_gen (comm_utils: 509): 通讯: 无法连接。远程 ip =10.128.18.55 port=3978 错误 = 连接被拒绝 (111) sock=14
1月21日 15:27:49错误: pan_lcsa_tcp_channel_setup (src_panos/lcs_agent. c: 414): 无法获取 socket:0 的日志收集器本地地址
>> 显示日志收集器首选项列表
日志收集器首选项列表
编号: 003001000638 IP 地址: 10.128.18.55 IPV6 地址:
> 显示日志记录状态
-----------------------------------------------------------------------------------------------------------------------------
键入上一个日志创建最后一个日志 Fwded 最后一个序列 num Fwded 最后一个序列数 Acked 总日志 Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
不发送到 CMS 0
> CMS 1
不发送到 CMS 1
> 日志收集器
"日志收集器日志转发代理" 处于活动状态但未连接
配置不可用 0 0 0
不可用的威胁 0 0 0
交通不可用 0 409746 0
hipmatch 不可用 0 0 0
解决办法
在帕洛阿尔托网络防火墙上运行以下 CLI 命令以删除日志收集器首选项列表:
- 删除日志收集器首选项列表:
>> 删除日志收集器首选项列表 - 重新启动管理服务器:
>> 调试软件重新启动管理- 服务器
所有者: ymiyashita