Cómo solucionar problemas de firewall o cola de registro panorámico
26823
Created On 09/10/24 16:54 PM - Last Modified 07/31/25 17:41 PM
Objective
Para encontrar la causa raíz y solucionar el problema de la cola de registros.
Environment
- NGFW
- Panorama
- Servidor de registro externo
- Reenvío de registros
Procedure
- Asegúrese de que el reenvío de registros desde el firewall o Panorama al servicio de registro externo esté configurado correctamente. Consulte Configurar el reenvío de registros.
- Verifique que no haya problemas de conectividad entre el firewall o Panorama y el servicio de registro externo.
- Para el servidor syslog, consulte Cómo solucionar problemas de errores de conexión a los servidores syslog.
- Para el administrador SNMP, consulte Reenviar capturas a un administrador SNMP.
- Para el servidor de correo electrónico, utilice el botón Probar conexión dentro del perfil del servidor de correo electrónico para verificar que el firewall puede autenticarse correctamente con el servidor de correo electrónico. Consulte Cómo enviar un correo electrónico de prueba para verificar la configuración del perfil de correo electrónico.
- Si el servidor de registro externo está configurado pero no se utiliza o no se puede acceder a él desde el cortafuegos o Panorama, se recomienda eliminar su configuración desde el cortafuegos o Panorama.
- Si es necesario, reinicie el receptor de registro para ver si resuelve el problema:
> debug software process restart log-receiver
- Compruebe el cortafuegos o los recursos de Panorama y el registro de logrcvr en busca de errores, en particular el mensaje "Error: pan_logforward_enqueue_new".
- Para el servidor Syslog:
- Si los mensajes de registro indican que la cola de tareas para syslog está desbordada. Posiblemente, la tasa de registro es bastante alta. Por lo tanto, el tamaño de la cola de tareas debe expandirse desde el valor predeterminado (16k), los siguientes pasos lo expanden a 512k. El cambio de tamaño surte efecto después de reiniciar el proceso de registro. Utilice este enfoque después de consultar con el soporte técnico.
> debug log-receiver param-tuning task-queue show > debug log-receiver param-tuning task-queue size 512000 > debug software restart process log-receiver
-
Compruebe si Panorama tiene algún problema de SW como: PAN-257615 que solucionó un problema en Panorama donde los registros no se mostraban o se mostraban de forma intermitente en la interfaz web.
-
Compruebe si el firewall o Panorama están golpeando el problema de SW: PAN-234929 que solucionó un problema en el que se solucionó un problema en el que las pestañas del ACC como Actividad de red y Actividad de amenaza podían no mostrar los datos correctamente dentro de ciertos filtros de tiempo.
- Si los mensajes de registro indican que la cola de tareas para syslog está desbordada. Posiblemente, la tasa de registro es bastante alta. Por lo tanto, el tamaño de la cola de tareas debe expandirse desde el valor predeterminado (16k), los siguientes pasos lo expanden a 512k. El cambio de tamaño surte efecto después de reiniciar el proceso de registro. Utilice este enfoque después de consultar con el soporte técnico.
- Administrador de SNMP:
- Asegúrese de que el administrador SNMP esté ingiriendo correctamente los registros. Si la ingesta de registros es lenta, puede crear una sobrecarga adicional para logrcvr (debido a los mecanismos de cola y sugerencias), lo que puede afectar al rendimiento del reenvío de registros del firewall o Panorama. Los registros destinados a reenviarlos al administrador SNMP generalmente se descartan si la conexión con el servidor SNMP está interrumpida o es inestable, o si el servidor SNMP no puede reconocer los registros de manera oportuna.
- Servidor de correo electrónico y servidor HTTP:
- El servidor de correo electrónico y el reenvío de registros HTTP están diseñados para notificaciones ocasionales, no para registros de gran volumen como Syslog. Asegúrese de que estos servicios no estén configurados para el tráfico de registros pesado.
- Para el servidor Syslog: