如何排查与日志转发服务器的连接失败
74222
Created On 02/10/22 23:16 PM - Last Modified 08/23/23 22:37 PM
Objective
排查日志转发服务器的连接失败
Environment
Firewall
日志转发服务器(系统日志服务器)
Procedure
- 检查下系统日志服务器 firewall 的服务路由
- 如果服务路由是默认的或管理接口,firewallCLI则从 :
- 检查 IP syslog 服务器与 firewall 之间的连接。
ping host <IP address of syslog server>
如果 ping 操作成功,则继续执行 b,否则请检查网络上的物理层 1 和数据链路第 2 层。 - 对系统日志服务器执行跟踪路由检查:
traceroute host <IP address of the syslog server>
Similarly perform a traceroute check from the syslog server to the management IP address of the firewall.
- 如果端口为 514,请TCP使用此命令检查TCP与 syslog 服务器之间的firewall连接,否则将 514 替换为相应的端口号。
show netstat numeric-host yes numeric-port yes all yes | match 514
如果不是,则连接应显示已建立。 - firewall检查设备>设置>界面>管理>允许的IP地址。如果存在 的列表 IP ,请确保 syslog 服务器 IP 地址存在于该列表中。
- 如果端口为 514,则TCP使用此命令在管理接口上firewall执行 tcpdump,否则将 514 替换为相应的端口号。
tcpdump filter "port 514" snaplen 0
- 将 tcpdump 数据包捕获导出到 scp 或 tftp 服务器并对其进行分析,以从根本上导致与 syslog 服务器之间的 firewall 连接问题。
scp export mgmt-pcap from mgmt.pcap to username@host:path
- 检查 IP syslog 服务器与 firewall 之间的连接。
- 如果服务路由是数据平面接口,则firewallCLI从:
- 检查 IP 数据平面接口与系统日志服务器之间的 firewall 连接。
ping source <IP address of the dataplane interface> host <IP address of syslog server>
If ping is successful then proceed to b otherwise check physical layer1 and data link layer2 on your network.
- 对系统日志服务器执行跟踪路由检查:
traceroute source <IP address of the dataplane interface> host <IP address of the syslog server>
Similarly perform a traceroute check from the syslog server command line to the IP address of the dataplane of the firewall.
- 通过使用 GUI在数据平面上执行数据包捕获来检查TCP与 syslog 服务器之间的firewall连接。
- 检查 IP 数据平面接口与系统日志服务器之间的 firewall 连接。
查看知识库入门:数据包捕获
- 检查 上的会话详细信息firewallCLI。
show session all filter source <IP address of the dataplane interface> destination <IP address of the syslog server>
session should show active if discarded then check if firewall security policy, nat and routing.
- 如果已完成上述检查,请检查网络中是否有任何 firewall 设备或设备阻止此连接。