Comment faire pour résoudre l’échec du transfert de journal à partir de Firewall Data Cortex Lake (CDL)
18102
Created On 07/28/22 21:47 PM - Last Modified 08/23/23 22:23 PM
Objective
Résolution des problèmes liés à l’échec du transfert de journal de firewall vers Cortex Data Lake (CDL)
Environment
- Palo Alto Networks Firewall
- Cortex Lac de données (CDL)
Procedure
- Vérifiez la connectivité entre firewall et Cortex Data Lake à l’aide de
> request logging-service-forwarding status
et en cas de problème, résolvez le problème en suivant les étapes répertoriées dans Comment résoudre l’échec de connexion au Cortex lac de données (CDL). - Vérifiez si les journaux sont générés sur le firewall côté :
> show counter global filter delta yes | match log > debug log-receiver statistics
Vérifiez si les compteurs sont incrémentés dans le dernier CLI ci-dessus.
- Vérifiez si l’action de transfert de journal correcte est configurée et activée sur les journaux en cours de génération :
> show log traffic direction equal backward query equal "actionflags has fwd"
- Vérifiez si les journaux sont envoyés du firewall à CDL:
- Pour l’option de transfert de service de journalisation Activer Data Cortex Lake sélectionné, utilisez :
> show logging-status
- Pour l’option de transfert du service de journalisation Activer la journalisation en double (Cloud et sur site), utilisez :
> debug log-receiver rawlog_fwd_trial stats global show
- Pour l’option de transfert de service de journalisation Activer Data Cortex Lake sélectionné, utilisez :
- Vérifiez s’il y a un grand nombre de paquets dans la file d’attente sortante pour que la connexion attende d’être CDL transférée :
> show netstat program yes numeric yes verbose yes | match <CDL IP address>
en vérifiant la troisième colonne de cette sortie qui représente la file d’attente d’envoi.Q Cette commande est applicable si le utilise l’interface de gestion pour transférer les journaux vers cortex le firewall lac de données.
- Pour forcer CDL la connexion lorsque la connexion à est terminée et que les vérifications répertoriées à CDL l’étape 1 sont vérifiées mais que les journaux ne sont toujours pas transférés, utilisez :
> debug software restart process management-server > debug software restart process log-receiver
Le redémarrage des démons ci-dessus sur le ne devrait pas affecter le firewall trafic du plan de données, mais entraînera la perte de connexion à firewall la direction pendant quelques minutes, il est conseillé d’utiliser ces commandes avec prudence. - Vérifiez si le firewall rencontre un problème où les pare-feu se sont connectés et déconnectés à plusieurs reprises à Cortex Data Lake en raison d’un problème de sondage avec ID PAN-153440 résolu dans les versions 8.1.18, 9.0.12, 9.1.6, 10.0.3 ou ultérieures.
- Vérifiez si firewall la compression des journaux est activée :
> show system setting logging log-compression
Si cette option est activée, assurez-vous que votre exécute la firewall version 10.0.5 ou ultérieure pour obtenir firewallle meilleur comportement de dans le transfert des journaux lorsque la compression des journaux est activée. - Si aucune des solutions ci-dessus ne résout votre problème, contactez notre équipe d’assistance technique.
Additional Information
Remarque 1 : l’option de transfert du service de journalisation est sélectionnée sous Configuration > gestion des périphériques >> Logging Service (9.1 ou version antérieure) / Cortex Data Lake (10.0 ou version ultérieure)