Beheben von Problemen mit der Firewall oder Panorama-Protokollwarteschlange
26851
Created On 09/10/24 16:54 PM - Last Modified 07/31/25 17:41 PM
Objective
Um die Ursache zu finden und das Problem mit der Protokollwarteschlange zu beheben.
Environment
- NGFW
- Panorama
- Externer Protokollserver
- Protokollweiterleitung
Procedure
- Stellen Sie sicher, dass die Protokollweiterleitung von der Firewall oder Panorama an den externen Protokollierungsdienst korrekt konfiguriert ist. Siehe Konfigurieren der Protokollweiterleitung.
- Stellen Sie sicher, dass keine Verbindungsprobleme zwischen der Firewall oder Panorama und dem externen Protokollierungsdienst vorliegen.
- Informationen zum Syslog-Server finden Sie unter Fehlerbehebung bei Verbindungsfehlern zu Syslog-Servern.
- Informationen zum SNMP-Manager finden Sie unter Weiterleiten von Traps an einen SNMP-Manager.
- Verwenden Sie für E-Mail-Server die Schaltfläche Verbindung testen im E-Mail-Serverprofil, um zu überprüfen, ob die Firewall erfolgreich beim E-Mail-Server authentifiziert werden kann. Informationen zum Überprüfen der E-Mail-Profileinstellungen finden Sie unter So senden Sie eine Test-E-Mail.
- Wenn der externe Protokollierungsserver konfiguriert ist, aber nicht verwendet wird oder von der Firewall oder Panorama aus nicht erreichbar ist, wird empfohlen, seine Konfiguration aus der Firewall oder Panorama zu löschen.
- Starten Sie bei Bedarf den Protokollempfänger neu, um zu prüfen, ob das Problem dadurch behoben wird:
> debug software process restart log-receiver
- Überprüfen Sie die Firewall- oder Panorama-Ressourcen und das logrcvr-Protokoll auf Fehler, insbesondere die Meldung "Error: pan_logforward_enqueue_new".
- Für Syslog-Server:
- Wenn die Protokollmeldungen darauf hinweisen, dass die Task-Warteschlange an Syslog überlaufen ist. Möglicherweise ist die Protokollrate recht hoch. Daher sollte die Größe der Aufgabenwarteschlange von der Standardgröße (16 KB) auf 512 KB erweitert werden. Die Größenänderung wird wirksam, nachdem der Protokollprozess neu gestartet wurde. Verwenden Sie diesen Ansatz nach Rücksprache mit dem Support.
> debug log-receiver param-tuning task-queue show > debug log-receiver param-tuning task-queue size 512000 > debug software restart process log-receiver
-
Überprüfen Sie, ob Panorama auf ein SW-Problem wie PAN-257615 stößt, das ein Problem in Panorama behoben hat, bei dem Protokolle nicht oder nur zeitweise auf der Weboberfläche angezeigt wurden.
-
Überprüfen Sie, ob die Firewall oder das Panorama auf SW stoßen Problem: PAN-234929, das ein Problem behoben hat, bei dem Registerkarten im ACC wie Netzwerkaktivität und Bedrohungsaktivität Daten innerhalb bestimmter Zeitfilter möglicherweise nicht korrekt anzeigen.
- Wenn die Protokollmeldungen darauf hinweisen, dass die Task-Warteschlange an Syslog überlaufen ist. Möglicherweise ist die Protokollrate recht hoch. Daher sollte die Größe der Aufgabenwarteschlange von der Standardgröße (16 KB) auf 512 KB erweitert werden. Die Größenänderung wird wirksam, nachdem der Protokollprozess neu gestartet wurde. Verwenden Sie diesen Ansatz nach Rücksprache mit dem Support.
- SNMP-Verwaltung:
- Stellen Sie sicher, dass der SNMP-Manager Protokolle ordnungsgemäß aufnimmt. Wenn die Protokollerfassung langsam ist, kann dies zu zusätzlichem Mehraufwand für logrcvr führen (aufgrund von Warteschlangen- und Hinweismechanismen), was sich auf die Leistung der Protokollweiterleitung der Firewall oder des Panoramas auswirken kann. Protokolle, die für die Weiterleitung an den SNMP-Manager vorgesehen sind, werden in der Regel gelöscht, wenn die Verbindung zum SNMP-Server unterbrochen oder instabil ist oder wenn der SNMP-Server die Protokolle nicht rechtzeitig bestätigen kann.
- E-Mail-Server und HTTP-Server:
- E-Mail-Server und HTTP-Protokollweiterleitung sind für gelegentliche Benachrichtigungen konzipiert, nicht für Protokolle mit hohem Volumen wie Syslog. Stellen Sie sicher, dass diese Dienste nicht für hohen Protokolldatenverkehr konfiguriert sind.
- Für Syslog-Server: