Los registros del firewall no se reenvían a Panorama cuando Cortex Data Lake está habilitado

• Los firewalls están configurados para enviar registros al servicio de registro Cortex Data Lake (CDL).
• Los registros no se ven en Panorama.
• Los registros de logrcvr ( less mp-log log-receiver.log ) muestran los intentos de conexión continuos a los recopiladores de registros y CDL.
• El reenviar de registro CDL se utilizó anteriormente (licencia vencida) o no se utiliza en el entorno del cliente.

• Firewalls administrados por Panorama
• PAN-OS 10.0+
• Lago de datos Cortex (CDL)
• Recopilador de registros

• La CDL está habilitada en el Firewall mientras no se utiliza o la licencia ha expirado.
• Esta configuración se puede verificar en el Firewall usando una de las siguientes opciones.
  • Compruebe la configuración de SDB mediante CLI :

show system state | match cfg.lcaas.*
cfg.lcaas-enabled: True

• Compruebe el estado de la CDL mediante CLI :

??????> request logging-service-forwarding status

Logging Service Licensed: No
Logging Service forwarding enabled: Yes
Duplicate logging enabled: No
Enhanced application logging enabled: Yes

1. Deshabilite el CDL si está habilitado y no está en uso.
2. Esto se puede hacer usando la GUI: Dispositivo > Configuración > Administración > Cortex Data Lake y
   • Desmarque la opción "Habilitar servicio de registro" y marque la opción "Habilitar registro duplicado"
3. Reinicie el proceso de recepción de registros en el firewall mediante " debug software restart process log-receiver ". Esto actualizar la conexión.
4. Verifique el estado del registro después de unos minutos.