Problembehandlung bei Verbindungsfehlern zwischen firewall und Protokollsammlung
49275
Created On 02/10/22 18:09 PM - Last Modified 11/14/23 17:35 PM
Objective
Beheben von Verbindungsfehlern zwischen firewall und Protokollsammlung
Environment
Firewall
Log-Sammler
Procedure
- Überprüfen Sie die Dienstroute zum Protokollkollektor unter firewall
Konfiguration > > > > Dienstroutenkonfiguration > Panorama
- Wenn die Serviceroute die Standard- oder Verwaltungsschnittstelle ist, dann von der firewall CLI:
- Überprüfen Sie IP die Verbindung zwischen firewall und dem Protokollkollektor (LC).
ping host <IP address of LC>
Wenn ping erfolgreich ist, fahren Sie mit b fort, andernfalls überprüfen Sie physical layer1 und data link layer2 in Ihrem Netzwerk.
- Führen Sie eine Traceroute-Prüfung für den Protokollkollektor durch:
traceroute host <IP address of the LC>
Führen Sie auf ähnliche Weise eine Traceroute-Prüfung vom CLI Protokollkollektor zur Verwaltungsadresse IP von firewall. - Überprüfen Sie TCP die Verbindung zwischen firewall und dem Protokollkollektor.
show netstat numeric-host yes numeric-port yes all yes | match 3987
Die Verbindung sollte als hergestellt angezeigt werden, wenn nicht, dann.
- Überprüfen Sie, ob firewall device > Setup>Schnittstelle > Verwaltung > zulässige IP Adressen verfügt
Wenn eine Liste von IP vorhanden ist, stellen Sie sicher, dass die Log Collector-Adresse IP in dieser Liste vorhanden ist.
- Führen Sie einen tcpdump auf der firewall Verwaltungsschnittstelle aus.
tcpdump filter "port 3987" snaplen 0
Exportieren Sie die tcpdump-Paketerfassung auf einen scp- oder tftp-Server und analysieren Sie sie, um das Verbindungsproblem zwischen firewall und log collector zu beheben.scp export mgmt-pcap from mgmt.pcap to username@host:path
- Wenn die Serviceroute eine Datenebenenschnittstelle ist, dann von der firewall CLI:
- Überprüfen Sie IP die Verbindung zwischen firewall der Datenebenenschnittstelle und dem Protokollkollektor (LC).
ping source <IP address of the dataplane interface> host <IP address of LC>
Wenn ping erfolgreich ist, fahren Sie mit b fort, andernfalls überprüfen Sie physical layer1 und data link layer2 in Ihrem Netzwerk. - Führen Sie eine Traceroute-Prüfung für den Protokollkollektor durch:
traceroute source <IP address of the dataplane interface> host <IP address of the LC>
Führen Sie auf ähnliche Weise eine Traceroute-Prüfung von der CLI des Protokollkollektors bis zur IP Adresse der Datenebene der firewall. - Überprüfen Sie TCP die Verbindung zwischen firewall und dem Protokollsammler, indem Sie eine Paketerfassung auf der Datenebene mit ausführen GUI.
- Überprüfen Sie IP die Verbindung zwischen firewall der Datenebenenschnittstelle und dem Protokollkollektor (LC).
Überprüfen Sie die Wissensdatenbank Erste Schritte: Paketerfassung
- Überprüfen Sie die Sitzungsdetails auf .firewall CLI
show session all filter source <IP address of the dataplane interface> destination <IP address of the LC>
Die Sitzung sollte aktiv angezeigt werden, wenn sie verworfen wird, und überprüfen Sie dann, ob firewall Sicherheit policy, NAT und Routing.
- Wenn die oben genannten Überprüfungen durchgeführt wurden, überprüfen Sie, ob ein firewall Gerät in Ihrem Netzwerk diese Verbindung blockiert.