日志转发失败如何处理Firewall到Cortex数据湖(CDL )
18075
Created On 07/28/22 21:47 PM - Last Modified 08/23/23 22:23 PM
Objective
排查日志转发失败问题firewall到Cortex数据湖(CDL )
Environment
- 帕洛阿尔托网络 Firewall
- Cortex 数据湖(CDL )
Procedure
- 检查之间的连通性firewall和Cortex数据湖使用
> request logging-service-forwarding status
如果出现问题,请使用中列出的步骤解决问题如何解决连接失败问题Cortex数据湖(CDL ) . - 检查日志是否正在生成firewall边:
> show counter global filter delta yes | match log > debug log-receiver statistics
检查计数器是否在最后增加CLI多于。
- 检查是否在正在生成的日志上配置并启用了正确的日志转发操作:
> show log traffic direction equal backward query equal "actionflags has fwd"
- 检查日志是否从firewall到CDL:
- 对于日志服务转发选项使能够Cortex数据湖选定用途:
> show logging-status
- 对于日志服务转发选项启用重复日志记录(云和本地)选定用途:
> debug log-receiver rawlog_fwd_trial stats global show
- 对于日志服务转发选项使能够Cortex数据湖选定用途:
- 检查连接到的传出队列中是否有大量数据包CDL等待转发:
> show netstat program yes numeric yes verbose yes | match <CDL IP address>
通过检查代表该输出的第三列发送-Q (发送队列)。 如果firewall正在使用管理界面将日志转发到cortex数据湖。
- 强迫CDL连接时连接到CDL启动并验证了第 1 步中列出的检查,但日志仍未被转发使用:
> debug software restart process management-server > debug software restart process log-receiver
重启上面的守护进程firewall不应影响数据平面流量,但会导致连接丢失firewall管理几分钟,建议谨慎使用这些命令。 - 检查是否firewall遇到防火墙反复连接和断开连接的问题Cortex数据湖由于探测问题ID PAN-153440在 8.1.18、9.0.12、9.1.6、10.0.3 或更高版本中修复。
- 检查是否firewall启用了日志压缩:
> show system setting logging log-compression
如果启用,请确保您的firewall正在运行 10.0.5 或更高版本以获得firewall启用日志压缩时转发日志的最佳行为。 - 如果以上都不能解决您的问题,请联系我们的技术支持团队。
Additional Information
注1:Logging-service forwarding选项在下面选择设备 > 设置 > 管理 >Logging Service (9.1 或更早版本)/Cortex数据湖(10.0 或更高版本)