系统日志包含“由于日志转发失败,磁盘上的提示数已超过 5000”。
157636
Created On 04/27/19 11:24 AM - Last Modified 11/25/24 19:03 PM
Symptom
系统日志包含“由于日志转发失败,磁盘上的提示数已超过 5000。 “
Firewall > show log system
.....
2019/04/14 10:27:43 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 09:27:38 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 08:27:33 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
2019/04/14 06:27:01 high general general 0 Number of hints on disk has exceeded 5000 due to log forward failures.
...Environment
- 为了PAN-OS9.1、10.0这个影响PA-5200和PA-7k系列 Firewall
- 从 10.1 开始,错误消息可以显示在所有NGFW平台
Cause
如果提示数量超过 5000,这些警报会每小时生成一次。
系统每小时生成一次警报,以基本上提醒有关未转发日志的可能问题。 当无法将日志块发送到时会创建提示Panorama,日志收集器或Cortex数据湖。
由于以下原因之一,无法发送日志:
- 下一代Firewall由于任何原因与日志收集器断开连接。
- 日志记录率非常高,日志发送率与日志创建率不匹配。
- 日志记录率非常高,无法摄取和ACK通过日志收集器或Cortex数据湖。
Resolution
警报本身按预期工作。 如果提示超过 5000 标记,则会触发系统警报。
STEP1:检查下一代的提示firewall,在下一代上运行以下命令firewall:
- 为了PA-5200和PA-7k 运行 10.0 及更早版本。
debug management-server rawlog_fwd show hints-stats debug management-server rawlog_fwd_dpi show hints-stats debug management-server rawlog_fwd_trial show hints-stats debug log-receiver rawlog_fwd show hints-stats
- 对于从 10.1 开始的所有平台
debug log-receiver rawlog_fwd show hints-stats
show logging-statusSTEP3:检查记录速率是否超过设备容量。STEP4:检查是否是下一代firewall连接到:
a- 日志收集器。
- 检查是否下一代firewall正在转发日志到Panorama和日志收集器参考:验证日志转发到Panorama.
- 排除故障之间的连接链接firewall和日志收集器。
- 检查日志收集器的健康状况以及它的所有进程是否都在“GREEN “ 状态。
show log-collector all
上面从 10.2 开始的命令将反映 logd、vldmgr、vlds 和 es 的状态。CLI的Panorama管理日志收集器。
b-Cortex数据湖
NOTE:如果在解决此问题时需要进一步的帮助,然后联系 Palo Alto Networks 支持。
Additional Information
如果在升级或重新启动日志收集器后看到这些提示,请至少等待一天。 这些提示可能会自行清除。 什么时候ES重新启动LC,它可能需要一些时间才能赶上日志的流入。