Journal du système contient « Nombre d’indices sur le disque a dépassé 5000 en raison de défaillances avant journal. »
157578
Created On 04/27/19 11:24 AM - Last Modified 11/25/24 19:03 PM
Symptom
Les journaux système contiennent « Le nombre d’indices sur le disque a dépassé 5000 en raison d’échecs de journalisation. "
Firewall > show log system
.....
2019/04/14 10:27:43 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 09:27:38 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 08:27:33 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 06:27:01 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
...Environment
- Pour PAN-OS 9.1, 10.0 cela affecte PA-5200 et PA-7k Series Firewall
- À partir de la version 10.1, le message d’erreur peut apparaître sur toutes les NGFW plates-formes
Cause
Ces alertes sont générées toutes les heures si le nombre d’indices dépasse 5000.
Le système génère l’alerte toutes les heures pour alerter d’un problème possible avec les journaux qui ne sont pas transférés. Des conseils sont créés lorsqu’un bloc de journaux ne peut pas être envoyé à Panorama, Log Collector ou Cortex Data Lake.
Les journaux ne peuvent pas être envoyés pour l’une des raisons suivantes :
- La nouvelle génération Firewall est déconnectée du collecteur de journaux pour quelque raison que ce soit.
- Le taux de journalisation est très élevé et le taux de journaux envoyés ne correspond pas au taux de création de journaux.
- Le taux de journalisation est très élevé et ne peut pas être ingéré par ACK le collecteur de journaux ou Cortex le lac de données.
Resolution
L’alerte en elle-même fonctionne comme prévu. Si les indices franchissent la barre des 5000, les alertes système sont déclenchées.
STEP 1 : Vérifiez les conseils sur la prochaine génération, exécutez les commandes ci-dessous sur la prochaine générationfirewallfirewall:
- Pour PA-5200 et 7k exécutant 10.0 et PA-versions antérieures.
debug management-server rawlog_fwd show hints-stats debug management-server rawlog_fwd_dpi show hints-stats debug management-server rawlog_fwd_trial show hints-stats debug log-receiver rawlog_fwd show hints-stats
- Pour toutes les plateformes à partir de la version 10.1
debug log-receiver rawlog_fwd show hints-stats
show logging-statusSTEP 3 : Vérifiez si le taux de journalisation dépasse la capacité de l’appareil.
- Comment faire pour déterminer le taux de journalisation sur VM Panorama ou M-100 avec un collecteur de journaux
- Dimensionnement pour Cortex Data Lake Storage
a- Collecteur de journaux.
- Pour vérifier si la nouvelle génération firewall transfère les journaux vers Panorama et le collecteur de journaux fait référence : Vérifiez le transfert de journal à Panorama.
- Dépannez la liaison de connectivité entre firewall et le collecteur de journaux.
- Vérifiez l’intégrité du collecteur de journaux et si tous ses processus sont à l’état « GREEN ».
show log-collector all
La commande ci-dessus commençant par 10.2 reflétera l’état de logd, vldmgr, vlds et es lorsqu’elle sera émise sur la CLI gestion des Panorama collecteurs de journaux.
b- Cortex Lac de données
- Résoudre les problèmes de connectivité entre firewall et Cortex Data Lake.
- Vue Cortex État du lac de données.
- Cortex Surveillance du lac de données .
NOTE: Si vous avez besoin d’aide supplémentaire pour résoudre ce problème, contactez le support Palo Alto Networks.
Additional Information
Si ces conseils sont visibles après une mise à niveau ou un redémarrage du collecteur de journaux, attendez au moins un jour. Les indices pourraient s’effacer d’eux-mêmes. Lorsque ES est redémarré sur un , il peut s’écouler un LCcertain temps avant qu’il rattrape l’afflux de journaux.