Panorama secundario-pasivo reenvía registros a un servidor externo

Panorama secundario-pasivo reenvía registros a un servidor externo

7112
Created On 01/04/24 02:56 AM - Last Modified 02/02/24 05:43 AM


Symptom


  • 2 Panoramas en una alta disponibilidad (HA) se configura como recopilador de registros local como esta figura.
    MutipleLogCollector.png
    Para obtener más información: Varios recopiladores de registros por grupo de recopiladores
  • En esta implementación, Panorama reenvía los registros a un servidor externo, por ejemplo, un servidor syslog, aunque el estado de alta disponibilidad sea secundario-pasivo.

Environment


  • PAN-OS 10.0 o posterior.
  • 2 Los recopiladores de registros locales están registrados en un grupo de recopiladores. 
    CollectorGroup.png
  • La lista de preferencias se configura en LogCollector para reenviar registros del firewall a los recopiladores de registros. El Panorama secundario (LogCollector2) se registra por encima de Panorama1. Indica que LogCollector2 tiene una prioridad más alta.
  • DeviceLogForwarding.png
  • El reenvío de registros de recopiladores está configurado para reenviar registros al servidor syslog en el grupo de recopiladores.
    CollectorLogForwarding.png
  • Se ha habilitado la redundancia de registros en el grupo de recopiladores.

Cause


  • Un firewall reenviará los registros solo a LogCollector según la lista de preferencias.
  • Si se configuran dos LogCollectors en la lista, solo el LogCollector con una prioridad más alta reenvía los syslogs.
  • Con esta configuración, LogCollector2 debe controlar syslog LogForwarding, incluso si el estado de Panorama es secundario-pasivo en alta disponibilidad.
  • Estos comandos de la CLI se pueden utilizar para comprobar qué LogCollector recibe los registros.
Desde el cortafuegos: 
admin@PA-VM> show log-collector preference-list

Log Collector Preference List
Forward to all: No
Serial Number: 000XXXXXXX02 IP Address: 10.10.10.146 IPV6 Address: unknown   <<---!! LogCollector2 is higher priority
Serial Number: 000XXXXXXX01 IP Address: 10.10.10.6 IPV6 Address: unknown

Desde Panorama1 (primario-activo): 
admin@Panorama1(primary-active)> debug log-collector log-collection-stats show incoming-logs 


Detail counts by logtype:
traffic:0  <<---!! Not receiving logs
config:0
system:0
threat:0
.....

De Panorama2 (secundario-pasivo): 
admin@Panorama2(secondary-passive)> debug log-collector log-collection-stats show incoming-logs

Last time logs received Wed Jan  3 18:38:20 2024

Incoming log rate =   1.00  <<---!! Receiving logs

Detail counts by logtype:
traffic:59  <<---!! 
config:0
system:0
threat:0
.....

 

Resolution


  • Si solo necesita reenviar registros desde Panorama primario-activo, modifique la lista de preferencias.
  • Palo Alto Networks recomienda agregar al menos tres recopiladores de registros a un grupo de recopiladores para evitar problemas de ingesta de registros y cerebros divididos en caso de que un recopilador de registros deje de funcionar. Para la referencia: Advertencias para un grupo de recopiladores con varios recopiladores de registros
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhPrCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language