Fehlermeldung: "Fehler beim Überprüfen des Serverzertifikats für Endpunkt api.paloaltonetworks.com"
44492
Created On 01/21/22 04:06 AM - Last Modified 02/02/24 06:03 AM
Symptom
- Die Firewall ist so konfiguriert, dass Protokolle an Cortex Data Lake gesendet werden.
- Die Protokolle werden nicht an CDL gesendet
- LCASS Agentenprotokoll Anzeige "Serverzertifikat für Endpunkt api.paloaltonetworks.com"
> tail follow yes mp-log lcaas_agent.log
.......
251 lcaas_agent ERROR Failed to fetch LCaaS server cert for validation check
252 lcaas_agent ERROR Failed to validate server certificate for endpoint api.paloaltonetworks.com
....Environment
- Palo Alto Firewalls
- PAN-OS 9.1 und höher
- Protokolle, die für das Senden an Cortex Data Lake (CDL) konfiguriert sind
Cause
Dieses Problem wird normalerweise dadurch verursacht, dass die Firmware api.paloaltonetworks.com oder lic.lc.prod.us.cs.paloaltonetworks.com nicht erreicht.
Resolution
- Vergewissern Sie sich, dass die Firewall-Verbindung mit dem Protokollierungsdienst ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Fehlerbehebung bei der Firewall-Konnektivität mit dem Protokollierungsdienst
- Versuchen Sie, die Lizenz und das Zertifikat mit dem Befehl
> request logging-service-forwarding certificate fetch-noproxy pre-shared-key xxxxxxxxxxxx
- Stellen Sie sicher, dass die TCP-Ports und FQDNs, die für CDL erforderlich sind, zulässig sind.
- Führen Sie TCPDUMP auf der Verwaltungsschnittstelle aus, um die Pakete zu erfassen und den Status zu überprüfen. (Standardmäßig wird der Datenverkehr über die FW-MGT-Schnittstelle geleitet).
> tcpdump snaplen 0 filter "tcp port (3978 or 80 or 443 or 444) or udp port 53"
- Wenn die URLs von einem Zwischengerät blockiert werden, stellen Sie sicher, dass die URL zulässig ist. Im obigen Beispiel wurde "lic.lc.prod.us.paloaltonetworks.com" blockiert.
- Wenn Sie weitere Unterstützung benötigen, öffnen Sie einen Fall beim Support .