启用 Cortex Data Lake 后，防火墙的日志不会转发到全景图

• 防火墙配置为将日志发送到 Cortex Data Lake (CDL) 日志服务。
• 全景图中看不到日志。
• logrcvr（ less mp-log log-receiver.log ）日志显示持续尝试连接日志收集器和 CDL。
• CDL 日志转发以前曾被使用过（许可证已过期）或未在客户环境中使用。

• Panorama 管理防火墙
• 泛操作系统 10.0+
• Cortex 数据湖（CDL）
• 日志收集器

• CDL 在防火墙上启用，但未被使用或许可证已过期。
• 可以使用以下选项之一在防火墙上验证此设置。
  • 使用CLI检查 SDB 设置：

show system state | match cfg.lcaas.*
cfg.lcaas-enabled: True

• 使用CLI检查 CDL状态：

??????> request logging-service-forwarding status

Logging Service Licensed: No
Logging Service forwarding enabled: Yes
Duplicate logging enabled: No
Enhanced application logging enabled: Yes

1. 如果已启用但未使用，请禁用 CDL。
2. 这可以使用 GUI 完成：设备 > 设置 > 管理 > Cortex Data Lake和
   • 取消选中“启用日志服务”并选中“启用重复日志”
3. 使用“ debug software restart process log-receiver ”重新启动防火墙上的日志接收器进程。这将刷新连接。
4. 几分钟后检查日志状态。