El registro del sistema contiene "El número de sugerencias en el disco ha superado 5000 debido a errores de avance de registro."
157578
Created On 04/27/19 11:24 AM - Last Modified 11/25/24 19:03 PM
Symptom
Los registros del sistema contienen "El número de sugerencias en el disco ha superado 5000 debido a errores de avance de registro. "
Firewall > show log system
.....
2019/04/14 10:27:43 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 09:27:38 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 08:27:33 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 06:27:01 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
...Environment
- Para PAN-OS 9.1, 10.0 esto afecta PA-5200 a la serie 7k y PA- Firewall
- A partir de 10.1, el mensaje de error puede aparecer en todas las NGFW plataformas
Cause
Estas alertas se generan cada hora si el número de sugerencias supera las 5000.
El sistema genera la alerta cada hora para alertar básicamente sobre un posible problema con los registros que no se reenvían. Las sugerencias se crean cuando no se puede enviar un bloque de registros a Panorama, Log Collector o Cortex Data Lake.
Los registros no se pueden enviar por uno de los siguientes motivos:
- La próxima generación Firewall se desconecta del recopilador de registros por cualquier motivo.
- La tasa de registro es muy alta y la tasa de envío de registros no coincide con la tasa de creación de registros.
- La tasa de registro es muy alta y no se puede ingerir por ACK el recopilador de registros o Cortex Data Lake.
Resolution
La alerta en sí misma está funcionando como se esperaba. Si las sugerencias cruzan la marca 5000, se activan las alertas del sistema.
STEP 1: Verifique las sugerencias en la próxima generación, ejecute los siguientes comandos en la próxima generaciónfirewallfirewall:
- Para PA-5200 y 7k corriendo 10.0 y PA-versiones anteriores.
debug management-server rawlog_fwd show hints-stats debug management-server rawlog_fwd_dpi show hints-stats debug management-server rawlog_fwd_trial show hints-stats debug log-receiver rawlog_fwd show hints-stats
- Para todas las plataformas a partir de la versión 10.1
debug log-receiver rawlog_fwd show hints-stats
show logging-statusSTEP 3: Compruebe si la velocidad de registro está excediendo la capacidad del dispositivo.
- Cómo determinar la velocidad de registro en VM Panorama o M-100 con un recopilador de registros
- Tamaño para Cortex el almacenamiento de Data Lake
a- Colector de registros.
- Para comprobar si la próxima generación firewall está reenviando registros a y recopilador de registros, consulte: Verificar reenvío de registros a PanoramaPanorama .
- Solucionar problemas de vínculo de conectividad entre firewall y recopilador de registros.
- Compruebe el estado del recopilador de registros y si todos sus procesos están en estado "GREEN".
show log-collector all
El comando anterior a partir de 10.2 reflejará el estado de logd, vldmgr, vlds y es cuando se emita en la CLI administración de los recopiladores de Panorama registros.
b- Cortex Lago de datos
- Solucionar problemas de conectividad entre firewall y Cortex Data Lake.
- Vista Cortex Estado del lago de datos.
- Cortex Supervisión de Data Lake .
NOTE: Si necesita más ayuda para solucionar este problema, póngase en contacto con el soporte técnico de Palo Alto Networks.
Additional Information
Si se ven estas sugerencias después de una actualización o un reinicio del recopilador de registros, espere al menos un día. Las pistas podrían desaparecer por sí solas. Cuando ES se reinicia en un LC, puede tomar algún tiempo para que se ponga al día con la entrada de registros.