ファイアウォールはSLSへのログの送信を停止し、logrcvrプロセスのメモリ消費はOOM状態になるまでゆっくりと増加します。

• OOM により再起動するまで Logrcvr プロセスがゆっくりと増加します
• SLS のログが欠落しているか、ファイアウォールによってログがまったく送信されていません。

• NGFW 5200 シリーズ。
• PAN-OS 10.2.14 または 11.1.8 未満。
• 他のプラットフォームにも影響が出る可能性があります。

logrcvr プロセスは、圧縮タスク キューの問題により低速になりつつありました。このキューは、ログ ブロックを間違った順序で処理しようとして停止し、バックログが永続的に発生し、時間の経過とともに logrcvr プロセスのサイズが大幅に大きくなり、バッファー不足によりログが失われる原因となっていました。

• 永続的な修正を行うには、PAN-OS バージョン 10.2.14 または 11.1.8 にアップグレードしてください (利用可能な場合)。
• 回避策として、 CLI を使用して logrcvr プロセスを定期的に再起動し、ログのバックログをクリアして OOM を回避します。

debug software restart process log-receiver

CLIで次のログを確認して、特定のログが SLS またはログ コレクターに送信されていないことを確認します。

> less mp-log lorcvr.log:

2024-09-26 18:57:52.217 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:53.474 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:55.174 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:56.633 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq

> debug log-receiver queue-stats


Logging statistics
------------------------------ -----------
Log incoming rate:             0/sec
Log written rate:              7504/sec
Logs discarded (queue full):   2439074 741
Ring buffer entries:           32768/32768 <<<<<< Ring buffer exhausted

> less mp-log mp-monitor.log - Look for the following log and review if it is growing:

Logs discarded (queue full):   2232890188

Logs discarded (queue full):   2303086554

CLIで、mp-monitor ログを確認して、メモリ消費がゆっくりと増加していることを確認します。

less mp-log mp-monitor.log.4 - The oldest one:
logrcvr              20957               0 kB      6967752 kB      9595032 kB      7239260 kB

-------------
less mp-log mp-monitor.log - The newest one:
logrcvr              20957               0 kB      7517344 kB     10063024 kB      7808804 kB