コレクタ グループ内のログ コレクタ間の待ち時間が長いため、ログ転送の遅延またはログの欠落
Symptom
A コレクタグループのログ処理能力は、コレクタグループ内のログコレクタ間の待ち時間が10ミリ秒を超えている場合や、ログ記録率が高い場合に大きな影響を受ける可能性があります。 このような状況では、ログを転送するときに、遅さや遅延が発生する可能性があります。 場合によっては、ログが失われることもあります。
Environment
この問題が発生する可能性が高い環境:
- LC 間の待機時間が長く、10 ミリ秒を超える待機時間が問題を引き起こす可能性があります。
- 高いロギング率 - ハイエンドの PA- FW(7k、)、 PA-5200 ログの転送ログ LC 、または多くのファイアウォール転送ログ
- ログの冗長性が設定されます。
Cause
機能しているシステムでは、 firewall ログ転送優先リストの設定に基づいて、コレクタグループ内の単一のログコレクタにログを転送します。 ログを受信するログ コレクターは、これらのログをさらに、ディスクに格納するためにグループ内の他のログ コレクターに均等に配布します。 受信側のログ コレクターは、通信障害でログの再送信が必要な場合にピア ログ コレクタから受信確認を受信するまでログをバッファします。 このバッファがいっぱいになると、 からログを受信できなくなります firewall 。
負荷の高いシステムでは (たとえば、ログ コレクタ間の高いロギング レートと高遅延の下)、受信確認パケットが遅延する可能性があります。 これにより、受信側のログ コレクターのバッファーが最大容量に達します。 バッファの容量が最大である間、ログコレクタはファイアウォールからの追加ログを受け付けなくなります。 これにより、ディスク上のログの保存が遅れ、極端な場合にはログが失われます。 たとえば、 PA-5200 PA- ログレートが非常に高い 7K または 7K の場合、 firewall ログ バッファがロールオーバーされ、ログが失われる可能性があります。
ストレス下のシステムの検出
CLIデバッグ ログ コレクター ログ コレクション統計を実行して受信ログを表示する
> デバッグログ-コレクタログ-コレクション-統計は、着信ログを表示
: 送り先ごとの blk 出荷統計 LC :
007307001057(Successes:3156, Fail:156543)
007307001044 (Successes:166874, Fail:0)
問題が発生すると、リモートログコレクタの失敗回数が絶えず増加します。
CLInetstat を実行して、通信チャネルが輻輳しているかどうかを確認します。
>は、netstat 数値はい プログラムはい|を表示します。一致ログ
tcp 6100410 0 127.0.0.1:41742 127.0.0.1:pan-mgmtsrv ESTABLISHED
>は、netstat 数値はい プログラムはい|を表示します。マッチ <ip address of the other LC >
tcp 4306978 162176 ::ffff:10.:p an-mgmt-interlc ::ffff:172.25.0.14:50471 ESTABLISHED
Resolution
ソリューション
ログ コレクター間で少なくとも 10 ミリ秒の待機時間を確保します。回避 策
- ログの冗長性をオフにする CG
データ間圧縮を有効に LC する
lc 間のデータ圧縮は、デフォルトで 8.1 です。 8.0 では、グループ内のすべての LC での lc 間通信のデータ圧縮を有効にするには、次の操作を行
います。
CPU
単一のコレクタグループを複数のコレクタグループに分割する
注: この回避策は PA- 7K および PA- 5200s からのログ転送に影響します。 バッファ機能とこれらの FW のロギングレートが極端に高いため、バッファがいっぱいになり、ログが再び起動した後にログコレクタに再転送できなくなる可能性があります。