ログ転送サーバーへの接続エラーのトラブルシューティング方法

ログ転送サーバーへの接続エラーのトラブルシューティング方法

57042
Created On 02/10/22 23:16 PM - Last Modified 08/23/23 22:37 PM


Objective


ログ転送サーバーへの接続エラーのトラブルシューティング

Environment


Firewall
ログ転送サーバー (syslog サーバ)

Procedure


  1. 下の syslog サーバへのサービス ルートを確認します。firewall
デバイス >セットアップサービス >>サービス ルート構成> Syslog >サービス
  1. サービス ルートがデフォルトまたは管理インターフェイスの場合は、firewall CLI
    1. IPと syslog サーバとの間firewallの接続を確認します。
      ping host <IP address of syslog server>
      ping が成功した場合は、b に進み、ネットワーク上の物理層 1 とデータ リンク レイヤ 2 をチェックします。
    2. syslog サーバに対してトレースルート チェックを実行します。
      traceroute host <IP address of the syslog server>
      Similarly perform a traceroute check from the syslog server to the management IP address of the firewall.
    3. ポートが 514 の場合TCPは、このコマンドを使用して syslog サーバーとの接続firewallを確認TCPし、対応するポート番号で 514 を置き換えます。
      show netstat numeric-host yes numeric-port yes all yes | match 514
      接続が確立されていない場合は、確立を示す必要があります。
    4. firewall[デバイス >セットアップ] >インターフェイス>管理>許可されたアドレスがあるかどうかをIP確認します。の IP リストが存在する場合は、syslog サーバ IP アドレスがそのリストに存在することを確認してください。
    5. ポートが 514 の場合TCPは、このコマンドをfirewall使用して管理インターフェイスで tcpdump を実行し、対応するポート番号で 514 を置き換えます。
      tcpdump filter "port 514" snaplen 0
    6. tcpdump パケット キャプチャを scp または tftp サーバにエクスポートし、それを分析して、syslog サーバとの間 firewall の接続問題を根本から引き起こします。
      scp export mgmt-pcap from mgmt.pcap to username@host:path
  1. サービス ルートがデータプレーン インターフェイスの場合は、firewall CLI
    1. データプレーンインターフェイスと syslog サーバ間firewallの接続を確認IPします。
      ping source <IP address of the dataplane interface> host <IP address of syslog server>
      If ping is successful then proceed to b otherwise check physical layer1 and data link layer2 on your network.
    2. syslog サーバに対してトレースルート チェックを実行します。
      traceroute source <IP address of the dataplane interface> host <IP address of the syslog server>
      Similarly perform a traceroute check from the syslog server command line to the IP address of the dataplane of the firewall.
    3. を使用してGUIデータプレーンでパケット キャプチャを実行して、syslog サーバととの間firewallの接続を確認TCPします。
  1. のセッションの詳細を確認してくださいfirewallCLI。
    show session all filter source <IP address of the dataplane interface> destination <IP address of the syslog server>
    session should show active if discarded then check if firewall security policy, nat and routing.
 
  1. 上記のチェックが行われた場合は、ネットワーク内のデバイスがこの firewall 接続をブロックしているかどうかを確認します。
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NC4CAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language