Cómo solucionar el error de reenvío de registros desde Firewall Data Cortex Lake (CDL)
18096
Created On 07/28/22 21:47 PM - Last Modified 08/23/23 22:23 PM
Objective
Solución de problemas del error de reenvío de registros desde firewall Data Cortex Lake (CDL)
Environment
- Palo Alto Networks Firewall
- Cortex Lago de datos (CDL)
Procedure
- Compruebe la conectividad entre firewall y Cortex Data Lake mediante
> request logging-service-forwarding status
y, en caso de problema, solucione el problema siguiendo los pasos enumerados en Cómo solucionar el error de conexión a Cortex Data Lake (CDL). - Compruebe si los registros se están generando en el firewall lateral:
> show counter global filter delta yes | match log > debug log-receiver statistics
Compruebe si los contadores están aumentando en el último CLI anterior.
- Compruebe si la acción correcta de reenvío de registros está configurada y habilitada en los registros que se están generando:
> show log traffic direction equal backward query equal "actionflags has fwd"
- Compruebe si los registros se envían desde el firewall a CDL:
- Para la opción de reenvío del servicio de registro Habilitar Cortex Data Lake seleccionado, use:
> show logging-status
- Para la opción de reenvío del servicio de registro Habilitar registro duplicado (en la nube y local) use seleccionado:
> debug log-receiver rawlog_fwd_trial stats global show
- Para la opción de reenvío del servicio de registro Habilitar Cortex Data Lake seleccionado, use:
- Compruebe si hay una gran cantidad de paquetes en la cola de salida para que la conexión esté en CDL espera de ser reenviada:
> show netstat program yes numeric yes verbose yes | match <CDL IP address>
marcando la tercera columna de esa salida que representa la cola Send-Q (enviar). Este comando es aplicable si utiliza la firewall interfaz de administración para reenviar registros al cortex lago de datos.
- Para forzar CDL la conexión cuando la conexión a CDL está activa y se verifican las comprobaciones enumeradas en el paso 1, pero los registros aún no se reenvían, use:
> debug software restart process management-server > debug software restart process log-receiver
Reiniciar los demonios anteriores en el no debería afectar el tráfico del plano de datos, pero causará la pérdida de conexión a firewall la firewall administración durante unos minutos, se recomienda usar esos comandos con precaución. - Compruebe si está llegando a un problema en el firewall que los firewalls se conectaron y desconectaron repetidamente a Data Lake debido a Cortex un problema de sondeo solucionado ID PAN-153440 en las versiones 8.1.18, 9.0.12, 9.1.6, 10.0.3 o posteriores.
- Compruebe si firewall tiene habilitada la compresión de registros:
> show system setting logging log-compression
Si está habilitado, asegúrese de que firewall está ejecutando la versión 10.0.5 o posterior para obtener el mejor comportamiento de para reenviar firewallregistros cuando la compresión de registros está habilitada. - Si nada de lo anterior soluciona su problema, póngase en contacto con nuestro equipo de soporte técnico.
Additional Information
Nota 1: La opción de reenvío del servicio de registro está seleccionada en > de configuración > administración de > Logging Service de dispositivos (9.1 o anterior) / Cortex Data Lake (10.0 o posterior)