如何排查防火墙或 Panorama 日志队列问题
26863
Created On 09/10/24 16:54 PM - Last Modified 07/31/25 17:41 PM
Objective
查找根本原因并修复日志队列问题。
Environment
- NGFW
- 全景
- 外部日志服务器
- 日志转发
Procedure
- 确保正确配置了从防火墙或 Panorama 到外部日志记录服务的日志转发。 请参阅配置日志转发。
- 验证防火墙或 Panorama 与外部日志记录服务之间没有连接问题。
- 对于 syslog 服务器,请参阅如何排除与 Syslog 服务器的连接故障故障。
- 有关 SNMP 管理器,请参阅将陷阱转发到 SNMP 管理器。
- 对于电子邮件服务器,请使用电子邮件服务器配置文件中的 Test Connection 按钮来验证防火墙是否可以成功向电子邮件服务器进行身份验证。 请参阅 如何发送测试电子邮件 以验证电子邮件配置文件设置。
- 如果外部日志记录服务器已配置,但未使用或无法从防火墙或 Panorama 访问,建议从防火墙或 Panorama 中删除其配置。
- 如果需要,请重新启动 log-receiver 以查看它是否解决了问题:
> debug software process restart log-receiver
- 检查防火墙或 Panorama 资源以及 logrcvr 日志中是否存在错误,尤其是消息“Error: pan_logforward_enqueue_new”。
- 对于 Syslog Server:
- 如果日志消息指示 task queue to syslog 已溢出。 可能,对数率相当高。 因此,任务队列大小应从默认值 (16k) 扩展,以下步骤将其扩展为 512K。 大小更改将在 log 进程重新启动后生效。 在咨询支持人员后使用此方法。
> debug log-receiver param-tuning task-queue show > debug log-receiver param-tuning task-queue size 512000 > debug software restart process log-receiver
-
检查 Panorama 是否遇到任何软件问题,例如: PAN-257615,该问题修复了 Panorama 上日志在 Web 界面上不显示或间歇性显示的问题。
-
检查防火墙或 Panorama 是否命中 SW 问题: PAN-234929,修复了修复了 ACC 中的选项卡(如网络活动和威胁活动)可能无法在某些时间过滤器内正确显示数据的问题。
- 如果日志消息指示 task queue to syslog 已溢出。 可能,对数率相当高。 因此,任务队列大小应从默认值 (16k) 扩展,以下步骤将其扩展为 512K。 大小更改将在 log 进程重新启动后生效。 在咨询支持人员后使用此方法。
- SNMP 管理器:
- 确保 SNMP 管理器正确摄取日志。 如果日志摄取速度较慢,则可能会给 logrcvr 带来额外的开销(由于排队和提示机制),这可能会影响防火墙或 Panorama 的日志转发性能。 如果与 SNMP 服务器的连接断开或不稳定,或者 SNMP 服务器无法及时确认日志,则通常会丢弃用于转发到 SNMP 管理器的日志。
- 电子邮件服务器和 HTTP 服务器:
- 电子邮件服务器和 HTTP 日志转发专为偶尔的通知而设计,而不是像 Syslog 这样的高容量日志。 确保这些服务未配置为处理繁重的日志流量。
- 对于 Syslog Server: