Secondary-Passive Panorama 正在将日志转发到外部服务器

• 高可用性 （HA） 中的 2 个全景图配置为本地日志收集器，如下图所示。
  
  有关详细信息：每个收集器组多个日志收集器
• 在此部署中，Panorama 将日志转发到外部服务器，例如 syslog 服务器，即使 HA 状态为 Secondary-Passive。

• PAN-OS 10.0 或更高版本。
• 2 个本地日志收集器在收集器组中注册。 
  
• 在 LogCollector 中配置首选项列表，以将日志从防火墙转发到日志收集器。 辅助 Panorama（LogCollector2） 注册在 Panorama1 之上。 它指示 LogCollector2 具有更高的优先级。
• 
• 收集器日志转发配置为将日志转发到收集器组中的系统日志服务器。
  
• 在收集器组中启用日志冗余。

• 防火墙将根据首选项列表仅将日志转发到 LogCollector。
• 如果列表中配置了两个 LogCollector，则只有优先级较高的 LogCollector 才会转发 syslog。
• 使用此配置时，LogCollector2 应处理 syslog LogForwarding，即使 HA 中 Panorama 的状态为 Secondary-Passive 也是如此。
• 这些 CLI 命令可用于检查哪个 LogCollector 正在接收日志。

admin@PA-VM> show log-collector preference-list

Log Collector Preference List
Forward to all: No
Serial Number: 000XXXXXXX02 IP Address: 10.10.10.146 IPV6 Address: unknown   <<---!! LogCollector2 is higher priority
Serial Number: 000XXXXXXX01 IP Address: 10.10.10.6 IPV6 Address: unknown

admin@Panorama1(primary-active)> debug log-collector log-collection-stats show incoming-logs 


Detail counts by logtype:
traffic:0  <<---!! Not receiving logs
config:0
system:0
threat:0
.....

admin@Panorama2(secondary-passive)> debug log-collector log-collection-stats show incoming-logs

Last time logs received Wed Jan  3 18:38:20 2024

Incoming log rate =   1.00  <<---!! Receiving logs

Detail counts by logtype:
traffic:59  <<---!! 
config:0
system:0
threat:0
.....

• 如果您只需要转发主活全景图中的日志，请修改首选项列表。
• Palo Alto Networks 建议将至少三个日志收集器添加到收集器组，以避免在一个日志收集器出现故障时出现脑裂和日志摄取问题。 供参考：具有多个日志收集器的收集器组的注意事项