So beheben Sie den Fehler bei der Protokollweiterleitung von Firewall To Cortex Data Lake (CDL)
18092
Created On 07/28/22 21:47 PM - Last Modified 08/23/23 22:23 PM
Objective
Beheben des Fehlers bei der Protokollweiterleitung von firewall zu Cortex Data Lake (CDL)
Environment
- Palo Alto Networks Firewall
- Cortex Data Lake (CDL)
Procedure
- Überprüfen Sie die Konnektivität zwischen firewall und Cortex Data Lake mit
> request logging-service-forwarding status
Beheben Sie das Problem im Falle eines Problems mit den Schritten, die unter Beheben des Verbindungsfehlers zu Cortex Data Lake (CDL) aufgeführt sind. - Überprüfen Sie, ob Protokolle firewall nebenbei generiert werden:
> show counter global filter delta yes | match log > debug log-receiver statistics
Überprüfen Sie, ob die Zähler in den letzten CLI oben inkrementiert werden.
- Überprüfen Sie, ob die richtige Protokollweiterleitungsaktion für die generierten Protokolle konfiguriert und aktiviert ist:
> show log traffic direction equal backward query equal "actionflags has fwd"
- Überprüfen Sie, ob Protokolle von der gesendet firewall werden:CDL
- Für die Weiterleitungsoption des Protokollierungsdienstes Data Lake aktivieren Cortex ausgewählt:
> show logging-status
- Für die Logging-Service-Weiterleitungsoption Doppelte Protokollierung aktivieren (Cloud und On-Premise) ausgewählt, verwenden Sie:
> debug log-receiver rawlog_fwd_trial stats global show
- Für die Weiterleitungsoption des Protokollierungsdienstes Data Lake aktivieren Cortex ausgewählt:
- Überprüfen Sie, ob sich in der ausgehenden Warteschlange eine große Anzahl von Paketen befindet, CDL damit die Verbindung weitergeleitet werden kann:
> show netstat program yes numeric yes verbose yes | match <CDL IP address>
indem Sie die dritte Spalte in dieser Ausgabe überprüfen, die die Send-Q (Sendewarteschlange) darstellt. Dieser Befehl ist anwendbar, wenn die firewall Verwaltungsschnittstelle verwendet wird, um Protokolle an Data Lake weiterzuleiten cortex .
- So erzwingen CDL Sie die Verbindung, wenn die Verbindung mit CDL hergestellt ist und die in Schritt 1 aufgeführten Überprüfungen überprüft wurden, die Protokolle jedoch immer noch nicht weitergeleitet werden, indem Sie Folgendes verwenden:
> debug software restart process management-server > debug software restart process log-receiver
Ein Neustart der obigen Daemons auf der sollte sich nicht auf den Datenverkehr auf der firewall Datenebene auswirken, führt jedoch zu einem Verbindungsverlust für firewall das Management für einige Minuten, es wird empfohlen, diese Befehle mit Vorsicht zu verwenden. - Überprüfen Sie, ob firewall ein Problem auftritt, bei dem Firewalls wiederholt eine Verbindung zu Cortex Data Lake hergestellt und getrennt haben, da ein in den Versionen 8.1.18, 9.0.12, 9.1.6, 10.0.3 oder höher behobenes Problem ID PAN-153440 behoben wurde.
- Überprüfen Sie, ob firewall die Protokollkomprimierung aktiviert ist:
> show system setting logging log-compression
Wenn diese Option aktiviert ist, stellen Sie sicher, dass Version firewall 10.0.5 oder höher ausgeführt wird, um das beste Verhalten bei der Weiterleitung von Protokollen zu erzielen firewall, wenn die Protokollkomprimierung aktiviert ist. - Wenn keine der oben genannten Maßnahmen Ihr Problem behebt, wenden Sie sich an unser technisches Support-Team.
Additional Information
Hinweis 1: Die Weiterleitungsoption für den Protokollierungsdienst ist unter Device > Setup > Management > Logging Service (9.1 oder früher) / Cortex Data Lake (10.0 oder höher) ausgewählt.