Die Protokollweiterleitung von CDL zu Splunk wird unterbrochen oder der Datenfluss wird unterbrochen

Die Protokollweiterleitung von CDL zu Splunk wird unterbrochen oder der Datenfluss wird unterbrochen

4547
Created On 02/02/24 21:34 PM - Last Modified 01/03/25 13:40 PM


Symptom


  • Zeitweise aufgetretenes Problem, bei dem Splunk keine Protokolle von CDL erhalten hat
  • Das CDL- Dashboard für die Log-Weiterleitung zeigte einen unvollständigen oder unterbrochenen Fluss an

Environment


  • Firewall
  • Protokollweiterleitung
  • Führerschein der Klasse C
  • Splunk

Cause


Eine oder mehrere Ursachen führen zu dem Problem, dass die Log-Weiterleitung gelegentlich stoppt.

  • Instabile TCP Verbindung zwischen CDL und Splunk-Server
  • SSL/TLS Probleme aufgrund abgelaufenen Zertifikat oder fehlgeschlagener SSL Aushandlung zwischen CDL und Splunk Syslog-Server
  • Gibt es irgendwelche zugrunde liegenden Probleme des CDL-Backends, die den „Protokollweiterleitungsmechanismus“ beeinträchtigen?

Resolution


Es gibt viele Probleme, die die Log-Weiterleitung beeinträchtigen könnten. Es ist wichtig, Probleme sowohl von Splunk als auch von CDL zu untersuchen, um eine stabile Verbindung beibehalten . Hier ist eine Liste einiger Beispiele

  1. Stellen Sie eine stabile TCP/ SSL Verbindung zwischen Splunk und CDL sicher. Eine instabile Verbindung führt zu Datenverlust, da der Mechanismus die verlorenen syslog Meldungen möglicherweise nicht erneut sendet.
  2. Stellen Sie sicher, dass das Zertifikat gültig ist
  3. Ein Netzwerkkonnektivitätstest Regel einen Datenpunkt aus

Additional Information


Strata Logging Service leitet Protokolle an einen Syslog-Server weiter
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008Wx5CAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language