如何排查与日志转发服务器的连接失败

如何排查与日志转发服务器的连接失败

74222

Created On 02/10/22 23:16 PM - Last Modified 08/23/23 22:37 PM

Objective

排查日志转发服务器的连接失败

Environment

Firewall
日志转发服务器（系统日志服务器）

Procedure

检查下系统日志服务器 firewall 的服务路由

>系统日志>服务路由配置>设备>设置

如果服务路由是默认的或管理接口，firewallCLI则从：
1. 检查 IP syslog 服务器与 firewall 之间的连接。
```
ping host <IP address of syslog server>
```
  如果 ping 操作成功，则继续执行 b，否则请检查网络上的物理层 1 和数据链路第 2 层。
2. 对系统日志服务器执行跟踪路由检查：
```
traceroute host <IP address of the syslog server>
```
```
Similarly perform a traceroute check from the syslog server to the management IP address of the firewall.
```
3. 如果端口为 514，请TCP使用此命令检查TCP与 syslog 服务器之间的firewall连接，否则将 514 替换为相应的端口号。
```
show netstat numeric-host yes numeric-port yes all yes | match 514
```
  如果不是，则连接应显示已建立。
4. firewall检查设备>设置>界面>管理>允许的IP地址。如果存在的列表 IP ，请确保 syslog 服务器 IP 地址存在于该列表中。
5. 如果端口为 514，则TCP使用此命令在管理接口上firewall执行 tcpdump，否则将 514 替换为相应的端口号。
```
tcpdump filter "port 514" snaplen 0
```
6. 将 tcpdump 数据包捕获导出到 scp 或 tftp 服务器并对其进行分析，以从根本上导致与 syslog 服务器之间的 firewall 连接问题。
```
scp export mgmt-pcap from mgmt.pcap to username@host:path
```

如果服务路由是数据平面接口，则firewallCLI从：

检查 IP 数据平面接口与系统日志服务器之间的 firewall 连接。

ping source <IP address of the dataplane interface> host <IP address of syslog server>

If ping is successful then proceed to b otherwise check physical layer1 and data link layer2 on your network.

对系统日志服务器执行跟踪路由检查：

traceroute source <IP address of the dataplane interface> host <IP address of the syslog server>

Similarly perform a traceroute check from the syslog server command line to the IP address of the dataplane of the firewall.

通过使用 GUI在数据平面上执行数据包捕获来检查TCP与 syslog 服务器之间的firewall连接。

查看知识库入门：数据包捕获

检查上的会话详细信息firewallCLI。

show session all filter source <IP address of the dataplane interface> destination <IP address of the syslog server>

session should show active if discarded then check if firewall security policy, nat and routing.

如果已完成上述检查，请检查网络中是否有任何 firewall 设备或设备阻止此连接。