Le transfert des journaux de CDL vers Splunk s'arrête ou le flux est intermittent

Le transfert des journaux de CDL vers Splunk s'arrête ou le flux est intermittent

4573
Created On 02/02/24 21:34 PM - Last Modified 01/03/25 13:38 PM


Symptom


  • Problème intermittent où Splunk n'a pas reçu les journaux de CDL
  • Le tableau de bord CDL pour le transfert des journaux a montré un flux incomplet ou intermittent

Environment


  • Pare-feu
  • Transfert de journal
  • permis de conduire commercial (CDL)
  • Splunk

Cause


Une ou plusieurs causes conduisent au problème où le transfert des journaux s'arrête occasionnellement.

  • Connexion TCP instable entre CDL et le serveur Splunk
  • Problèmes SSL/TLS dus à l'expiration du certificat ou à l'échec de la négociation SSL entre CDL et le serveur syslog Splunk
  • Existe-t-il des problèmes sous-jacents du backend CDL qui affectent le « mécanisme de transfert des journaux » ?

Resolution


De nombreux problèmes peuvent affecter la transfert des journaux. Il est important d'examiner les problèmes à la fois à partir de Splunk et de CDL pour maintenir, garantir, poursuivre une connexion stable. Voici une liste de quelques exemples

  1. Assurez une connexion TCP/ SSL stable entre Splunk et CDL. Une connexion instable entraîne une perte de données lorsque le mécanisme ne renvoie pas les messages syslog perdus.
  2. Assurez-vous que le certificat est valide
  3. Un test de connectivité réseau règle un point de données

Additional Information


Le service de journalisation Strata transfère les journaux vers un serveur Syslog
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008Wx5CAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language