Sekundär-passives Panorama leitet Protokolle an einen externen Server weiter

Sekundär-passives Panorama leitet Protokolle an einen externen Server weiter

7114
Created On 01/04/24 02:56 AM - Last Modified 02/02/24 05:44 AM


Symptom


  • 2 Panoramen in einer Hochverfügbarkeit (HA) ist wie in dieser Abbildung als lokaler Protokollsammler konfiguriert.
    MutipleLogCollector.png
    Zum Detail : Mehrere Protokollsammler pro Kollektorgruppe
  • In dieser Bereitstellung leitet Panorama Protokolle an einen externen Server weiter, z. B. an einen Syslog-Server, obwohl der HA-Status "Sekundär-Passiv" lautet.

Environment


  • PAN-OS 10.0 oder höher.
  • 2 Lokale Protokollsammler sind in einer Sammlergruppe registriert. 
    CollectorGroup:.png
  • Die Einstellungsliste ist in LogCollector so konfiguriert, dass Protokolle von der Firewall an Log Collectors weitergeleitet werden. Sekundäres Panorama (LogCollector2) wird über Panorama1 registriert. Er gibt an, dass LogCollector2 eine höhere Priorität hat.
  • DeviceLogForwarding.png
  • Die Collector-Protokollweiterleitung ist so konfiguriert, dass Protokolle an den Syslog-Server in der Collector-Gruppe weitergeleitet werden.
    CollectorLogForwarding.png
  • Die Protokollredundanz in der Collector-Gruppe wurde aktiviert.

Cause


  • Eine Firewall leitet Protokolle gemäß der Einstellungsliste nur an LogCollector weiter.
  • Wenn zwei LogCollectors in der Liste konfiguriert sind, leitet nur der LogCollector mit einer höheren Priorität Syslogs weiter.
  • Mit dieser Konfiguration sollte LogCollector2 Syslog LogForwarding verarbeiten, auch wenn der Status von Panorama in HA Secondary-Passive ist.
  • Diese CLI-Befehle können verwendet werden, um zu überprüfen, welcher LogCollector die Protokolle empfängt.
Von der Firewall: 
admin@PA-VM> show log-collector preference-list

Log Collector Preference List
Forward to all: No
Serial Number: 000XXXXXXX02 IP Address: 10.10.10.146 IPV6 Address: unknown   <<---!! LogCollector2 is higher priority
Serial Number: 000XXXXXXX01 IP Address: 10.10.10.6 IPV6 Address: unknown

Von Panorama1 (primär-aktiv): 
admin@Panorama1(primary-active)> debug log-collector log-collection-stats show incoming-logs 


Detail counts by logtype:
traffic:0  <<---!! Not receiving logs
config:0
system:0
threat:0
.....

Von Panorama2 (sekundär-passiv): 
admin@Panorama2(secondary-passive)> debug log-collector log-collection-stats show incoming-logs

Last time logs received Wed Jan  3 18:38:20 2024

Incoming log rate =   1.00  <<---!! Receiving logs

Detail counts by logtype:
traffic:59  <<---!! 
config:0
system:0
threat:0
.....

 

Resolution


  • Wenn Sie Protokolle nur aus dem primär-aktiven Panorama weiterleiten möchten, ändern Sie bitte die Einstellungsliste.
  • Palo Alto Networks empfiehlt, mindestens drei Log Collectors zu einer Collector-Gruppe hinzuzufügen, um Split-Brain- und Log-Ingestion-Probleme zu vermeiden, falls ein Log Collector ausfällt. Als Referenz : Vorbehalte für eine Collector-Gruppe mit mehreren Log Collectors
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhPrCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language