Protokolle von der Firewall werden nicht an Panorama weitergeleitet, wenn Cortex Data Lake aktiviert ist

• Firewalls sind so konfiguriert, dass sie Protokolle an den Protokollierungsdienst von Cortex Data Lake (CDL) senden.
• Die Protokolle sind auf Panorama nicht zu sehen.
• Die Protokolle von logrcvr ( less mp-log log-receiver.log ) zeigen fortlaufende Verbindungsversuche mit den Protokollsammlern und CDL.
• CDL Log weiter wurde zuvor verwendet (Lizenz abgelaufen) oder wird in der Kundenumgebung nicht verwendet.

• Panorama verwaltete Firewalls
• PAN-OS 10.0+
• Cortex Data Lake (CDL)
• Protokollsammler

• Die CDL ist auf der Firewall aktiviert, wenn sie nicht verwendet wird oder die Lizenz abgelaufen ist.
• Diese Einstellung kann mit einer der folgenden Optionen auf der Firewall überprüft werden.
  • Überprüfen Sie die SDB-Einstellungen mithilfe der CLI :

show system state | match cfg.lcaas.*
cfg.lcaas-enabled: True

• Überprüfen Sie den CDL- Status mithilfe der CLI :

??????> request logging-service-forwarding status

Logging Service Licensed: No
Logging Service forwarding enabled: Yes
Duplicate logging enabled: No
Enhanced application logging enabled: Yes

1. Deaktivieren Sie CDL, wenn es aktiviert ist und nicht verwendet wird.
2. Dies kann über die GUI erfolgen: Gerät > Setup > Management > Cortex Data Lake und
   • Deaktivieren Sie „Protokollierungsdienst aktivieren“ und aktivieren Sie „Duplikatsprotokollierung aktivieren“.
3. Starten Sie den Log-Receiver-Prozess auf der Firewall mit „ debug software restart process log-receiver “ neu. Dadurch wird die Verbindung aktualisieren .
4. Überprüfen Sie nach einigen Minuten den Status .