ファイアウォールまたはパノラマログキューの問題のトラブルシューティング方法
26821
Created On 09/10/24 16:54 PM - Last Modified 07/31/25 17:41 PM
Objective
根本原因を特定し、ログキューの問題を修正します。
Environment
- NGFW
- パノラマ
- 外部ログサーバ
- ログ転送
Procedure
- ファイアウォールまたはパノラマから外部ログサービスへのログ転送が正しく設定されていることを確認します。 ログ転送の設定を参照してください。
- ファイアウォールまたはパノラマと外部ログサービスの間に接続の問題がないことを確認します。
- syslog サーバについては、『syslog サーバへの接続障害をトラブルシューティングする方法』を参照してください。
- SNMPマネージャについては、SNMPマネージャへのトラップの転送を参照してください。
- 電子メール サーバーの場合は、電子メール サーバー プロファイル内の [テスト接続] ボタンを使用して、ファイアウォールが電子メール サーバーで正常に認証できることを確認します。 「テスト電子メールの送信方法」を参照して、電子メールプロファイルの設定を確認します。
- 外部ロギング サーバーが構成されているが、使用されていないか、ファイアウォールまたはパノラマから到達できない場合は、ファイアウォールまたはパノラマからその構成を削除することをお勧めします。
- 必要に応じて、ログレシーバーを再起動して、問題が解決するかどうかを確認します。
> debug software process restart log-receiver
- ファイアウォールまたはパノラマリソースとlogrcvrログでエラー、特に「Error: pan_logforward_enqueue_new」というメッセージを確認します。
- Syslog サーバーの場合:
- ログ・メッセージが syslog へのタスク・キューがオーバーフローしていることを示している場合。 おそらく、ログレートはかなり高いでしょう。 したがって、タスク キューのサイズは既定値 (16k) から拡張する必要があり、次の手順では 512K に拡張されます。 サイズ変更は、ログ・プロセスが再始動された後に有効になります。 このアプローチは、サポートに相談した後で使用してください。
> debug log-receiver param-tuning task-queue show > debug log-receiver param-tuning task-queue size 512000 > debug software restart process log-receiver
-
パノラマが次のようなSWの問題が発生しているかどうかを確認します: PAN-257615は、ログがWebインターフェイスに表示されないか、断続的に表示されないパノラマの問題を修正しました。
-
ファイアウォールまたはパノラマがSWの問題が発生しているかどうかを確認します: PAN-234929は、ネットワークアクティビティや脅威アクティビティなどのACCのタブが特定の時間フィルター内でデータを正しく表示しない可能性がある問題を修正しました。
- ログ・メッセージが syslog へのタスク・キューがオーバーフローしていることを示している場合。 おそらく、ログレートはかなり高いでしょう。 したがって、タスク キューのサイズは既定値 (16k) から拡張する必要があり、次の手順では 512K に拡張されます。 サイズ変更は、ログ・プロセスが再始動された後に有効になります。 このアプローチは、サポートに相談した後で使用してください。
- SNMP マネージャ:
- SNMP マネージャーがログを正しく取り込んでいることを確認します。 ログの取り込みが遅い場合、(キューイングとヒントのメカニズムにより) logrcvr に追加のオーバーヘッドが発生する可能性があり、ファイアウォールまたは Panorama のログ転送パフォーマンスに影響を与える可能性があります。 SNMP マネージャーへの転送を目的としたログは、通常、SNMP サーバーへの接続が切断されたり不安定になったりした場合、または SNMP サーバーがログをタイムリーに確認できない場合にドロップされます。
- 電子メール サーバーと HTTP サーバー:
- メールサーバーとHTTPログ転送は、Syslogのような大量のログではなく、不定期の通知用に設計されています。 これらのサービスが大量のログトラフィック用に構成されていないことを確認します。
- Syslog サーバーの場合: