Protokolldatenbankkontingentsabweichung zwischen Panorama Weboberfläche und CLI

27722

Created On 05/02/19 09:13 AM - Last Modified 03/26/21 17:40 PM

Symptom

In der Panorama Web-Oberfläche werden detaillierte Protokolle mit 60% zum Beispiel 992GB
NOTE konfiguriert (Collector Group tab > Log Storage-Einstellung). Dies kann auf jede angewendet firewall werden.

Die zeigt jedoch an, CLI dass die Zuweisung 164 GB beträgt, was 40 Tagen entspricht, nachdem Der folgende Befehl ausgeführt wurde:
> Systemlogdb-Kontingent anzeigen
...

Slot:0
Quoten:
detailliert: 60.00%, 164 GB Ablaufzeitraum: 0 Tage
Zusammenfassung: 30.00%, 82 GB Ablaufzeitraum: 0 Tage
infra_audit: 5.00%, 14 GB Ablaufzeitraum: 0 Tage
Plattform: 0.10%, 0 GB Ablauffrist: 0 Tage
extern: 0 Tage extern: 0.10%, 0 GB Ablauffrist: 0 Tage

Environment

Jede Panorama plattform oder Plattform nach dem Upgrade auf firewall PAN-OS 8.0+

Cause

Die Panorama Weboberfläche zeigt einen anderen Wert als in CLI für die detaillierten firewall Protokolle, die sich in den Protokollspeichereinstellungen für Collector befinden. Dies wird durch interne Berechnungen verursacht, nicht durch eine Anomalie.

Wir haben zwei log-db-Implementierungen nach PAN-OS 8.0. Die ursprüngliche Implementierung mit log-db angezeigten Daten basiert auf der VLD Datenträgernutzung. Die neuere Implementierung mit Elasticsearch hat eine andere Art, die Ergebnisse anzuzeigen, und es ist notwendig, die und Elasticsearch zu überprüfen, VLD um genaue Informationen auf zu CLI sehen.

Darüber hinaus werden Elasticsearch-Indizes gelöscht, wenn 88 % des Datenträgerkontingents erreicht werden. Dadurch wird verhindert, dass der gesamte Datenträger verfügbar ist.

Resolution

Das ist erwartungsgemäß verhalten. Es funktioniert von Design, da diese Änderung nach PAN-OS 8.0 hinzugefügt wurde.

In PAN-OS 8.0 muss das Kontingent (Bytegröße) mit Befehlen kombiniert werden, wenn es von der angezeigt CLI wird.
> System logdb-quota
+
> Systemsuchmaschinenkontingent anzeigen

Additional Information