Le panorama passif secondaire transfère les journaux vers un serveur externe

Le panorama passif secondaire transfère les journaux vers un serveur externe

7114
Created On 01/04/24 02:56 AM - Last Modified 02/02/24 05:44 AM


Symptom


  • 2 panoramas dans une haute disponibilité (HA) est configuré en tant que collecteur de journaux local comme cette figure.
    MutipleLogCollector.png
    Pour le détail : Plusieurs collecteurs de journaux par groupe de collecteurs
  • Dans ce déploiement, Panorama transfère les journaux vers un serveur externe, par exemple un serveur syslog, même si l’état HA est Secondaire-Passif.

Environment


  • PAN-OS 10.0 ou version ultérieure.
  • 2 collecteurs de journaux locaux sont enregistrés dans un groupe de collecteurs. 
    CollectorGroup :.png
  • La liste des préférences est configurée dans LogCollector pour transférer les journaux du pare-feu vers les collecteurs de journaux. Secondary Panorama(LogCollector2) est enregistré au-dessus de Panorama1. Il indique que LogCollector2 est de priorité supérieure.
  • DeviceLogForwarding :.png
  • Le transfert de journaux de collecteur est configuré pour transférer les journaux au serveur syslog dans le groupe de collecteurs.
    CollectorLogForwarding :.png
  • Activation de la redondance des journaux dans le groupe de collecteurs.

Cause


  • Un pare-feu transmettra les journaux uniquement à LogCollector conformément à la liste des préférences.
  • Si deux LogCollectors sont configurés dans la liste, seul le LogCollector avec une priorité plus élevée transfère les syslogs.
  • Avec cette configuration, LogCollector2 doit gérer syslog LogForwarding, même si l’état de Panorama est Secondary-Passive dans HA.
  • Ces commandes CLI peuvent être utilisées pour vérifier quel LogCollector reçoit les journaux.
À partir du pare-feu : 
admin@PA-VM> show log-collector preference-list

Log Collector Preference List
Forward to all: No
Serial Number: 000XXXXXXX02 IP Address: 10.10.10.146 IPV6 Address: unknown   <<---!! LogCollector2 is higher priority
Serial Number: 000XXXXXXX01 IP Address: 10.10.10.6 IPV6 Address: unknown

À partir de Panorama1 (primaire-actif) : 
admin@Panorama1(primary-active)> debug log-collector log-collection-stats show incoming-logs 


Detail counts by logtype:
traffic:0  <<---!! Not receiving logs
config:0
system:0
threat:0
.....

À partir de Panorama2 (secondaire-passif) : 
admin@Panorama2(secondary-passive)> debug log-collector log-collection-stats show incoming-logs

Last time logs received Wed Jan  3 18:38:20 2024

Incoming log rate =   1.00  <<---!! Receiving logs

Detail counts by logtype:
traffic:59  <<---!! 
config:0
system:0
threat:0
.....

 

Resolution


  • Si vous avez besoin de transférer les journaux à partir du panorama actif principal uniquement, veuillez modifier la liste des préférences.
  • Palo Alto Networks recommande d’ajouter au moins trois collecteurs de journaux à un groupe de collecteurs afin d’éviter les problèmes de cerveau divisé et d’ingestion de journaux en cas de panne d’un collecteur de journaux. Pour la référence : Mises en garde pour un groupe de collecteurs avec plusieurs collecteurs de journaux
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhPrCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language