Cómo solucionar errores de conexión a servidores de reenvío de registros
57064
Created On 02/10/22 23:16 PM - Last Modified 08/23/23 22:37 PM
Objective
Solucionar errores de conexión a servidores de reenvío de registros
Environment
Firewall
Servidor de reenvío de registros (servidor syslog)
Procedure
- Compruebe la ruta del servicio al servidor syslog en el punto firewall de acceso
- Si la ruta de servicio es predeterminada o la interfaz de administración, entonces desde el firewall CLI:
- Compruebe la IP conexión entre firewall y el servidor syslog.
ping host <IP address of syslog server>
Si el ping es exitoso, proceda a b de lo contrario verifique la capa física1 y la capa de enlace de datos2 en su red. - Realice una comprobación de traceroute en el servidor syslog:
traceroute host <IP address of the syslog server>
Similarly perform a traceroute check from the syslog server to the management IP address of the firewall. - Compruebe TCP la conexión entre firewall y el servidor syslog mediante este comando si TCP el puerto es 514, de lo contrario, reemplace 514 con el número de puerto correspondiente.
show netstat numeric-host yes numeric-port yes all yes | match 514
La conexión debe mostrarse establecida si no es así. - Compruebe si firewall tiene Configuración de > de dispositivos> interfaz > administración > Direcciones permitidas IP .Si existe una lista de, asegúrese de IP que la dirección del servidor IP syslog esté presente en esa lista.
- Realice un tcpdump en la interfaz de administración utilizando este comando si TCP el puerto es 514, de lo contrario, reemplace 514 con el firewall número de puerto correspondiente.
tcpdump filter "port 514" snaplen 0
- Exporte la captura de paquetes tcpdump a un servidor scp o tftp y analícela para rootear la causa del problema de conexión entre firewall y el servidor syslog.
scp export mgmt-pcap from mgmt.pcap to username@host:path
- Compruebe la IP conexión entre firewall y el servidor syslog.
- Si la ruta de servicio es la interfaz del plano de datos, entonces desde el firewall CLI:
- Compruebe la IP conexión entre firewall la interfaz del plano de datos y el servidor syslog.
ping source <IP address of the dataplane interface> host <IP address of syslog server>
If ping is successful then proceed to b otherwise check physical layer1 and data link layer2 on your network. - Realice una comprobación de traceroute en el servidor syslog:
traceroute source <IP address of the dataplane interface> host <IP address of the syslog server>
Similarly perform a traceroute check from the syslog server command line to the IP address of the dataplane of the firewall. - Compruebe la TCP conexión entre firewall y el servidor syslog realizando una captura de paquetes en el plano de datos mediante GUI.
- Compruebe la IP conexión entre firewall la interfaz del plano de datos y el servidor syslog.
Comprobar la base de conocimientos Introducción: Captura de paquetes
- Compruebe los detalles de la sesión en el archivo firewall CLI.
show session all filter source <IP address of the dataplane interface> destination <IP address of the syslog server>
session should show active if discarded then check if firewall security policy, nat and routing.
- Si se realizan las comprobaciones anteriores, compruebe si alguno firewall de los dispositivos de su red está bloqueando esta conexión.