Strata Cloud Manager がデバイステレメトリデータを受信しなくなった問題のトラブルシューティング方法。

• Strata Cloud Manager がファイアウォールまたは Panorama からテレメトリ データを受信しなくなる問題を修正します。

• Strata Cloud Manager(NGFW向けAIOps)
• PANWファイアウォール
• パノラマ

1. CLIコマンドを使用して、デバイステレメトリが有効になっているかどうかを確認します。

   show device-telemetry details

2. aiopsプラグインがデバイスにインストールされているかどうかを確認します(これはPanoramaに固有です)。

   show plugins installed

   それ以外の場合は、「Cloud Connectorプラグイン」のドキュメントを参照してください。
3. デバイスにアクティブなCortex Data Lake(CDL)ライセンスがあることを確認します(これはNGFW PremiumのAIOpsに固有です)。

   request license info

   1. FW UIについては、[ DEVICE > Licenses]で確認してください。
   2. パノラマUIについては、 PANORAMA>ライセンスを確認してください。
   3. 注: 最近 Logging Service ライセンス (別名 CDLライセンス)で、カスタマーサポートポータル(CSP)に有効と表示されている場合は、CLIと同等のUIフォーム「ライセンスサーバーからライセンスキーを取得」をクリックして、ライセンスを再取得する必要がある場合があります。

      request license fetch

4. デバイス テレメトリで構成されているリージョンと CDL リージョンの間でリージョンが一致していることを確認します (これは、AIOps Premium インスタンスでオンボードされたデバイス、または Cortex Data Lake(別名ロギング サービス)ライセンスで無料の AIOps インスタンスでオンボードされたデバイスのテレメトリ データを送信しようとするときに確認する必要があります)。
   1. デバイス テレメトリ リージョンは、UI の [DEVICE > Setup] >Telemetry で設定され、CLI から以下を使用して確認することもできます。

      show device-telemetry settings

   2. Cortex Data Lakeリージョンは、UIで設定されます。 デバイス>セットアップ > Cortex Data Lakeで、CLIから(これはファイアウォールに固有です)。

      request logging-service-forwarding customerinfo show

   3. ファイアウォールのCDLリージョン設定を修正した後でも、bのコマンドで期待した結果が得られない場合は、「ファイアウォール接続のトラブルシューティング」ドキュメントを参照してください。
   4. Panorama の CDL リージョンを確認するには、CLI コマンドを発行します。

      request plugins cloud_services logging-service status

      最後に印刷される行には、CDL 領域が表示されます。
5. デバイス証明書がインストールされていて、まだ有効であることを確認します。

   show device-certificate status

   必要に応じて、「デバイス証明書のインストール」を参照してください。
6. ファイアウォール/パノラマがデバイステレメトリエンドポイントのFQDNを解決できることを確認します。
   1. CLI コマンドを使用してデバイステレメトリエンドポイントの FQDN を確認するには、次の手順を実行します。

      show device-telemetry details

   2. CLI コマンドを使用します。

      ping host <FQDN endpoint>

      をクリックして、ファイアウォールがそのFQDNをIPアドレスに解決できるかどうかを確認します。 そうでない場合は、[UI DEVICE > Setup > Services] でファイアウォールのDNSサーバ設定とNTPサーバ設定の両方を確認します。
7. この問題をトラブルシューティングする別の方法は、CLI コマンドを発行することです。

   show device-telemetry stats all

   
   その出力は、ファイアウォールがデバイステレメトリバンドルの送信に失敗した原因を示すのに役立つため、次のようになります。
   1. 「DNS lookup failed」に等しい理由については、このドキュメントのステップ 6 を確認してください。
   2. 理由が「クライアント証明書の発行」に等しい場合は、このドキュメントの手順5を確認してください。
   3. 「CDL Receiver へのファイルの送信に失敗しました」という理由については、10.1.9、10.2.4、および 11.01 で修正された PAN-210331 のリリース ノートを こちらで確認してください。
   4. CLIコマンド「show device-telemetry stats all」を再度発行する前に、更新されたステータスが反映されるまでに時間がかかるため、各問題または障害の理由に対処するときは、辛抱強く対処してください。 また、device_telemetry_curl.log と device_telemetry.log の出力で動作の変化を追跡することもできます

      tail follow yes mp-log device_telemetry_curl.log
      tail follow yes mp-log device_telemetry.log
      

8. CLI コマンドを使用して、テレメトリ データの収集の最後の試行と最後の成功を確認します。

   show device-telemetry collect-now

   1. テレメトリバンドルの収集をトリガーする場合は、CLIコマンドを発行します。

      request device-telemetry collect-now

9. デバイスがCDLに接続されていることを確認します。
   1. ファイアウォールの場合は、CLI コマンドを使用します。

      request logging-service-forwarding status

      それ以外の場合は、『ファイアウォール接続のトラブルシューティング 』を参照してください。
   2. Panorama の場合は、CLI コマンドを使用します。

      request plugins cloud_services logging-service status

      「Cortex Data Lake (10.0 以前) の Panorama の設定」および「Cortex Data Lake の Panorama の設定 (10.1 以降)」を参照してください。

上記のトラブルシューティング手順に進む前の事前チェックは次のとおりです。

1. ファイアウォールが PAN-OS 10.0.x 以降のバージョンを実行して、NGFW の Strata Cloud Manager/AIOps へのテレメトリ データの送信をサポートしていることを確認します。
2. デバイスが AIOps インスタンスと同じ CSP アカウントに関連付けられていることを確認します。
3. ハブ (https://apps.paloaltonetworks.com/hub) に移動し、適切な CSP アカウントで [Common Services] > [デバイスの関連付け] > [デバイスの追加] を選択して、デバイスを正しいテナントに追加していることを確認します。

request device-telemetry collect-now

show device-telemetry collect-now

debug software restart process reportd