Systemprotokoll Enthält "Anzahl der Hinweise auf dem Datenträger hat 5000 aufgrund von Protokollvorweiterwegen überschritten."
157578
Created On 04/27/19 11:24 AM - Last Modified 11/25/24 19:03 PM
Symptom
Die Systemprotokolle enthalten "Die Anzahl der Hinweise auf dem Datenträger hat 5000 überschritten, da Fehler bei der Weiterleitung der Protokolle aufgetreten sind. "
Firewall > show log system
.....
2019/04/14 10:27:43 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 09:27:38 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 08:27:33 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 06:27:01 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
...Environment
- Für PAN-OS 9.1, 10.0 betrifft PA-5200 dies und PA-7k-Serie Firewall
- Ab 10.1 kann die Fehlermeldung auf allen NGFW Plattformen angezeigt werden
Cause
Diese Warnungen werden stündlich generiert, wenn die Anzahl der Hinweise 5000 überschreitet.
Das System generiert die Warnung stündlich, um im Grunde über ein mögliches Problem mit Protokollen zu warnen, die nicht weitergeleitet werden. Hinweise werden erstellt, wenn ein Protokollblock nicht an Panorama, Log Collector oder Cortex Data Lake gesendet werden kann.
Die Protokolle können aus einem der folgenden Gründe nicht gesendet werden:
- Die nächste Generation Firewall wird aus irgendeinem Grund vom Protokollsammler getrennt.
- Die Protokollierungsrate ist sehr hoch, und die Rate der gesendeten Protokolle stimmt nicht mit der Protokollerstellungsrate überein.
- Die Protokollierungsrate ist sehr hoch und kann nicht erfasst werden, und ACK zwar über den Protokollsammler oder Cortex Data Lake.
Resolution
Die Warnung an sich funktioniert wie erwartet. Wenn die Hinweise die 5000er-Marke überschreiten, werden die Systemwarnungen ausgelöst.
STEP Nr. 1: Überprüfen Sie die Hinweise zur nächsten Generation und führen Sie die folgenden Befehle für die nächste Generation firewallfirewallaus:
- Für PA-5200 und 7k mit 10.0 und PA-früher.
debug management-server rawlog_fwd show hints-stats debug management-server rawlog_fwd_dpi show hints-stats debug management-server rawlog_fwd_trial show hints-stats debug log-receiver rawlog_fwd show hints-stats
- Für alle Plattformen ab 10.1
debug log-receiver rawlog_fwd show hints-stats
show logging-statusSTEP Nr. 3: Überprüfen Sie, ob die Protokollierungsrate die Gerätekapazität überschreitet.
- So bestimmen Sie die Protokollrate auf VM Panorama oder M-100 mit einem Protokollsammler
- Dimensionierung für Cortex Data Lake Storage
a- Log-Sammler.
- Informationen zum Überprüfen, ob die nächste Generation firewall Protokolle an Panorama und Protokollsammler weiterleitet, finden Sie unter: Überprüfen der Protokollweiterleitung an Panorama.
- Beheben Sie Probleme mit der Konnektivitätsverbindung zwischen firewall und Log Collector.
- Überprüfen Sie den Zustand des Protokollsammlers und ob sich alle seine Prozesse im Status "GREEN" befinden.
show log-collector all
Der obige Befehl ab Version 10.2 spiegelt den Status von logd, vldmgr, vlds und es wider, wenn er auf der Seite der CLI Verwaltung der Panorama Log-Collectors ausgegeben wird.
b- Cortex Data Lake
- Beheben Sie Probleme mit der Konnektivität zwischen firewall und Cortex Data Lake.
- Ansehen Cortex Data Lake-Status.
- Cortex Data Lake-Überwachung .
NOTE: Wenn Sie weitere Hilfe bei der Behebung dieses Problems benötigen, wenden Sie sich an den Support von Palo Alto Networks.
Additional Information
Wenn diese Hinweise nach einem Upgrade oder einem Neustart des Protokollsammlers angezeigt werden, warten Sie mindestens einen Tag. Die Hinweise könnten sich von selbst klären. Wenn ES es auf einem neu gestartet wird, kann es LCeinige Zeit dauern, bis es den Zufluss von Protokollen eingeholt hat.