エラー メッセージ: 「エンドポイント api.paloaltonetworks.com のサーバー証明書を検証できませんでした」
44476
Created On 01/21/22 04:06 AM - Last Modified 02/02/24 06:09 AM
Symptom
- Cortex Data Lakeにログを送信するように設定されたファイアウォール。
- ログは CDL に送信されません
- LCASS エージェント ログに「エンドポイント api.paloaltonetworks.com のサーバー証明書」が表示される
> tail follow yes mp-log lcaas_agent.log
.......
251 lcaas_agent ERROR Failed to fetch LCaaS server cert for validation check
252 lcaas_agent ERROR Failed to validate server certificate for endpoint api.paloaltonetworks.com
....Environment
- パロアルトのファイアウォール
- PAN-OS 9.1 以降
- Cortex Data Lake(CDL)に送信するように設定されたログ
Cause
この問題は通常、FW が api.paloaltonetworks.com または lic.lc.prod.us.cs.paloaltonetworks.com に達しないことが原因で発生します。
Resolution
- ログ サービスへのファイアウォール接続が正常に機能していることを確認します。 Logging Serviceとのファイアウォール接続のトラブルシューティングを参照してください。
- 次のコマンドを使用して、ライセンスと証明書の更新を試みます
> request logging-service-forwarding certificate fetch-noproxy pre-shared-key xxxxxxxxxxxx
- CDL に必要な TCP ポートと FQDN が許可されていることを確認します。
- 管理インターフェイスで TCPDUMP を実行して、パケットをキャプチャし、ステータスを確認します。 (デフォルトでは、トラフィックはFW MGTインターフェイスを通過します)。
> tcpdump snaplen 0 filter "tcp port (3978 or 80 or 443 or 444) or udp port 53"
- URL が中間デバイスによってブロックされている場合は、その URL が許可されていることを確認します。 上記の例では、「lic.lc.prod.us.paloaltonetworks.com」がブロックされています。
- さらにサポートが必要な場合は、 サポート でケースを開いてください。