Les journaux du pare-feu ne sont pas transmis au panorama lorsque Cortex Data Lake est activé

• Les pare-feu sont configurés pour envoyer des journaux au service de journalisation Cortex Data Lake (CDL).
• Les journaux ne sont pas visibles sur Panorama.
• Les journaux logrcvr ( moins mp-log log-receiver.log ) affichent les tentatives de connexion continues aux collecteurs de journaux et à CDL.
• Le transférer de journal CDL a déjà été utilisé (licence expirée) ou n'est pas utilisé dans l'environnement client.

• Pare-feu gérés par Panorama
• PAN-OS 10.0+
• Lac de données Cortex (CDL)
• Collecteur de journaux

• Le CDL est activé sur le pare-feu alors qu'il n'est pas utilisé ou que la licence a expiré.
• Ce paramètre peut être vérifié sur le pare-feu à l’aide de l’une des options suivantes.
  • Vérifiez les paramètres SDB à l’aide de la CLI :

show system state | match cfg.lcaas.*
cfg.lcaas-enabled: True

• Vérifiez le état CDL à l'aide de la CLI :

??????> request logging-service-forwarding status

Logging Service Licensed: No
Logging Service forwarding enabled: Yes
Duplicate logging enabled: No
Enhanced application logging enabled: Yes

1. Désactivez le CDL s'il est activé et non utilisé.
2. Cela peut être fait en utilisant l'interface graphique : Appareil > Configuration > Gestion > Cortex Data Lake et
   • décochez « Activer le service de journalisation » et cochez « Activer la journalisation en double »
3. Redémarrez le processus log-receiver sur le pare-feu en utilisant « debug software restart process log-receiver ». Cela actualiser la connexion.
4. Vérifiez l’ état de la journalisation après quelques minutes.