ログの転送先CDLリージョン構成が正しくないため機能しない
16925
Created On 06/04/21 09:34 AM - Last Modified 05/15/23 09:36 AM
Symptom
- プリズマfirewallに接続されていませんCDL受容体であるため、ログは転送されません。
admin@GPGW_XXXXX_netherlands-central_> show logging-status
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1
>Log Collection Service
'Log Collection log forwarding agent' is active but not connected <<<<<
config Not Available Not Available 0 0 0
system Not Available Not Available 0 0 0
threat Not Available Not Available 0 0 0
traffic Not Available Not Available 0 0 0
.....(Output Omitted)....
ログ転送エージェントがアクティブと接続されていません、つまり、firewall接続に必要な FQDN/エンドポイントがない可能性があります。
- 顧客情報はクラウド上で正しく取得されるfirewall:
admin@GPGW_XXXXX_netherlands-central_> request logging-service-forwarding customerinfo show
Ingest endpoint: 0d5cc924-4234-44af-9359-48b87fb061c3.in2-lc-prod-eu.gpcloudservice.com
Query endpoint: 0d5cc924-4234-44af-9359-48b87fb061c3.api2-lc-prod-eu.gpcloudservice.com:444
Customer ID: <removed>
Region : europe
- 証明書も付いていますfirewallそして有効です:
admin@GPGW_XXXXX_netherlands-central_> request logging-service-forwarding certificate info
Certificate chain verification: OK
Public and private key pair match: Yes
Certificate expired: No
Certificate details:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 6085537258678521253 (0x54742be4eaf00da5)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=Palo Alto Networks Inc.-SJC-Client-Issuing-CA2 G2, O=Palo Alto Networks Inc., C=US
Validity
Not Before: May 27 08:45:55 2021 GMT
Not After : Aug 25 08:45:55 2021 GMT
Subject: CN=<removed>/serialNumber=7DC00A752A25D8C, OU=Cloud, L=Palo Alto Networks, ST=CA, C=US
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b1:55:2c:20:ab:86:c5:96:4e:41:65:45:11:c9:
00:1b:1e:9e:ca:97:39:fe:db:86:fe:85:74:8e:d3:
1f:9a:3c:5b:e5:de:3b:6a:01:41:19:b3:67:74:51:
e5:45:20:be:7f:b1:1e:64:b1:5f:b6:26:36:d6:65:
24:43:8a:e1:04:8d:1e:e2:84:24:f8:0b:4a:2d:53:
e1:e7:68:72:14:6c:66:71:99:a2:61:66:23:df:7e:
d5:e4:ee:d7:fa:24:c7:03:85:57:3d:7a:28:1a:62:
a7:78:02:97:2a:c1:02:78:b7:8c:fe:e1:06:a0:61:
a9:b4:f5:2f:d6:41:ee:81:26:ae:86:01:18:20:13:
9b:c9:38:2d:4e:57:a6:c1:ab:3c:ab:6e:da:ce:18:
2b:37:76:fd:84:1c:b2:66:b5:1a:dc:c9:9b:b0:47:
9b:20:9c:8f:bb:00:cf:69:d9:13:ce:a7:63:27:82:
1b:f3:29:b1:45:4b:83:88:e5:32:36:08:d5:4e:bb:
ca:2e:c9:a3:a4:dd:c8:34:e1:ad:35:1a:ba:01:0f:
f4:c2:28:be:29:e6:be:a4:a9:6c:63:e5:54:6c:5c:
da:f0:6c:70:a4:93:3a:fa:73:33:70:7b:9f:22:8b:
cc:06:44:7d:57:b3:4d:fe:09:e0:d9:b1:1a:21:ae:
15:35
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Authority Key Identifier:
keyid:CA:1B:6B:CC:69:86:51:74:11:6D:93:F9:F8:DF:E2:A1:D9:4D:26:9B
Authority Information Access:
CA Issuers - URI:https://crl.paloaltonetworks.com/pan-client-issuing-sjc-ca2-g2.crt
OCSP - URI:http://ocsp.paloaltonetworks.com/ocsp
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.25461.3.2.3.4
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.paloaltonetworks.com/pan-client-issuing-sjc-ca2-g2.crl
X509v3 Subject Key Identifier:
38:EA:B5:68:38:E3:8A:C4:72:6B:67:11:48:C6:19:13:FB:0A:AC:D9
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
Signature Algorithm: sha256WithRSAEncryption
2b:d7:ab:7a:94:3f:08:56:2a:cd:78:44:a8:d4:b7:91:90:a1:
09:5e:48:52:4c:67:a4:3f:3f:09:90:9b:71:e1:b2:53:a2:9c:
b4:74:ab:10:47:d4:6e:2d:e1:8f:20:a5:2b:02:95:8b:89:97:
39:f3:0c:06:55:d8:43:96:e0:6c:d7:22:93:62:1b:f0:00:62:
..........
c8:40:04:c0:aa:59:a5:f2:e6:87:67:2a:87:18:2e:b3:e0:7a:
1c:0c:01:e4:88:6f:6d:de:b7:3e:a1:30:7c:4f:6f:5a:13:2a:
ce:f4:41:ee:21:e1:74:13:c3:db:a7:b4:24:bd:68:c1:ee:b2:
71:77:d7:28:f0:99:41:ba:a0:2e:00:fc:53:ae:41:05:ed:3e:
bd:c4:f2:b8:e4:ad:5d:10:f9:e6:ae:f6:fa:c7:e8:d4:be:f1:
60:7b:8f:ab:31:0f:02:ab:7c:d9:9b:72:b1:60:87:30:8a:4c:
95:13:06:d7:39:9a
Successfully fetch LCaaS certificate info
- のms.log ( mp-log ms.log を減らす)エラーが表示されます:
2021-06-04 10:03:34.700 +0200 Error: _setup_tcp_conn_info(src_panos/lcs_agent.c:594): Error getting iplist for address: fqdn: (null) port:3978
- logrcvr.log ( mp-log logrcvr.log を減らします)設定リストの問題を示すエラーが表示される
2021-05-27 01:51:31.307 -0700 ------------ PHASE2 ------------
2021-05-27 01:51:31.307 -0700 pan_nf_update_config_cache()
2021-05-27 01:51:31.307 -0700 Error: pan_logrcvr_lc_sroute_changed(pan_logrcvr_parser.c:788): Could not find entry for panorama-log-forwarding
2021-05-27 01:51:31.307 -0700 Error: pan_logrcvr_lc_sroute_changed(pan_logrcvr_parser.c:788): Could not find entry for paloalto_updates
2021-05-27 01:51:31.307 -0700 config phase 2: update url_cache_timeout from 0 to 5
2021-05-27 01:51:31.307 -0700 Collector preference list does not exist /opt/pancfg/mgmt/global/lcaas-pref.xml
2021-05-27 01:51:31.307 -0700 Error: _load_pref_list_and_connect(pan_rlog_fwd.c:4057): Error parsing the destination LCs preference list
2021-05-27 01:51:31.307 -0700 Collector preference list does not exist /opt/pancfg/mgmt/global/lcaas-pref.xml
2021-05-27 01:51:31.307 -0700 Error: _load_pref_list_and_connect(pan_rlog_fwd.c:4057): Error parsing the destination LCs preference list
2021-05-27 01:51:31.307 -0700 ------------ PHASE2 ends with result:1 ------------
2021-05-27 01:51:33.358 -0700 Updating logrcvr with the latest "hostname" info: PA-VM
2021-05-27 01:51:35.513 -0700 FQDN::unregistering 0 FQDNs not used anymore ...
2021-05-27 01:51:35.513 -0700 FQDN::registering 0 new FQDNs ...
2021-05-27 01:51:40.242 -0700 Loading PaloAltoNetworks URL categories...Environment
- Prisma Access Firewall
- Cortex データレイク (CDL )
- ログ転送
Cause
次のステップとして、次のような設定リストを確認できます。FQDN (ヌル):
admin@GPGW_XXXXX_netherlands-central_> show log-collector preference-list
Logging Service Preference List
Forward to all: Yes
Serial Number: PANW_LOG_RECEPTOR_SRV FQDN: (null)
チェックするとfirewalllogging service「」を使用した構成> マージされた設定を表示" コマンドで領域を表示しますアメリカ顧客情報には地域が表示されますヨーロッパ
setting {
logging {
enhanced-application-logging {
enable yes;
}
logging-service-forwarding {
logging-service-regions americas;
enable yes;
}
}Panorama 実行コンフィギュレーションにより、リージョンがに設定されていることを確認します。アメリカ下サービス_接続_テンプレート
<template>
<entry name="Service_Conn_Template">
<settings>
<default-vsys>vsys1</default-vsys>
</settings>
<description>Service Connection Template (Use the Cloud Services plugin to edit)</description>
<config>
<devices>
<entry name="localhost.localdomain">
<vsys>
<entry name="vsys1"/>
</vsys>
<deviceconfig>
<setting>
<logging>
<logging-service-forwarding>
<logging-service-regions>americas</logging-service-regions>
<enable>yes</enable>
</logging-service-forwarding>
</logging>
</setting>
Resolution
この問題を解決するには、顧客情報の地域と一致するように地域を設定する必要があります。 地域は次から変更できますPanoramaどちらかを通してCLIまたGUI:
オプション1:
オプション 2:
以下の手順に従う前に、すべての設定変更がコミットされ、プッシュされていることを確認してください。Panorama 。
- に接続しますPanorama経由SSH。
- 次のコマンドを使用して構成モードに移動します。
> configure
- 以下のコマンドを実行します。
set template Service_Conn_Template config deviceconfig setting logging logging-service-forwarding logging-service-regions europe
- 次のコマンドを使用して構成モードを終了します。
> exit
- に行くPanoramaGUIそれからコミットしてプッシュする構成は次のように変更されます Prisma Access
Additional Information
分析しますms.logとlogrcvr.logログ ファイルでは cli コマンドを使用します。
>less mp-log ms.log
>less mp-log logrcvr.log