Cómo solucionar problemas de conexión entre recopiladores de registros

• Para solucionar problemas y resolver problemas relacionados con la conectividad y sincronización de Panorama y el recopilador de registros.
• Si siguen las instrucciones, los usuarios deberían poder diagnosticar y corregir problemas comunes en sus configuraciones de Panorama y Log Collector.
• Algunos de los problemas discutidos que generalmente se observan con la configuración.

• • Los registros del firewall no se envían a Panorama/Log Collector.
  • El recopilador de registros está desconectado de Panorama.
  • Algunos registros faltan o se retrasan cuando se inicia una consulta.

• Cualquier panorama
• Recolectores de registros
• PAN-OS 10.0 y superior.

1. Verifique que los permisos apropiados para que los Panoramas (Modo Panorama y/o Modo de recopilación de logs) se comuniquen estén establecidos.
   1. Utilice Solución de problemas de conectividad de Panorama .
   2. Asegúrese de que el puerto TCP 28270 esté abierto entre los dispositivos si hay un cortafuegos en el medio.
   3. Si se utiliza la versión PAN-OS 11.1 o superior, asegúrese de que el puerto 28 y los puertos 9300-9302 estén abiertos. La comunicación entre LC utiliza estos puertos.
2. Verifique si hay alguna conexión inestable entre dispositivos, ejecute el siguiente comando varias veces para ver si hay desconexiones/reconexiones frecuentes.

> show netstat numeric yes | match 28270
Proto Recv-Q Send-Q Local Address           Foreign Address         State   

3. Si la comunicación funcional entre Panoramas/Recopiladores de registros deja de funcionar:
   1. Consulte el ms.log para ver los mensajes de error usando el comando > less mp-log ms.log

01:20:06.757 -0700 COMM: connection established. sock=29 remote ip=10.253.0.106 port=3978 local port=60640
01:20:06.757 -0700 cms agent: Pre. send buffer limit=46080. s=29
01:20:06.757 -0700 cms agent: Post. send buffer limit=425984. s=29
01:20:06.757 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
01:20:06.757 -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
01:20:06.757 -0700 cmsa: client will use default context
01:20:06.757 -0700 Warning: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:988): client will not use SNI

09:13:27.723 -0800 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. 
09:13:27.723 -0800 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name

2. En el recopilador de registros dedicado, los problemas de sc3 que se observan en ms.log se pueden resolver restableciendo la conexión. Consulte Cómo restablecer la comunicación segura entre el cortafuegos y Panorama .
3. No ejecute el comando sc3 reset en los firewalls que administra Panorama o en modo mixto. Consulte con el soporte técnico para obtener una solución. Si ejecuta el comando, todos los firewalls se desconectarán de Panorama.

4. ¿Se realizó alguna actualización en uno de los dispositivos del Grupo de recopiladores? En caso afirmativo, asegúrese de que todos los dispositivos ejecuten la misma versión dentro del Grupo de recopiladores.
5. Reinicie el servidor de administración en ambos dispositivos para restablecer la conexión.

debug software restart process management-server

6. Verifique que todos los recopiladores de registros estén en buen estado desde la perspectiva de Panorama, incluido el recopilador de registros local de Panorama.
   1. Desde la interfaz gráfica de usuario de Panorama: Panorama > Administrados > Recopiladores
   2. Dependiendo del problema detectado, utilice los siguientes conocimientos de Knowledge Base según corresponda.
      1. El recopilador de registros muestra el estado como "fuera de sincronizar" y "desconectado"
      2. El recopilador de registros muestra que la versión del anillo no coincide
      3. El recopilador de registros muestra "Fuera de sincronización" debido a una "falta de coincidencia de IP para la interfaz de administración"
7. Verifique que ElasticSearch de Log Collector esté en buen estado, incluido el Log Collector local de Panorama.
   1. A continuación se muestra un ejemplo de un ElasticSearch en mal estado.

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877500 07:45:00  __pan_cluster__ red             1         1    461 461    0    0      115             0                  -     80.03472222222221

2. Reinicie ElasticSearch con el siguiente comando y vuelva a verificar el estado. Tenga en cuenta que si se configuran varios recopiladores de registros, es necesario identificar el recopilador de registros que tiene problemas y luego reiniciar ElasticSearch en el recopilador de registros que falló. Si necesita ayuda, comuníquese con Soporte .

admin@Log_Collector> debug elasticsearch es-restart option all
Elasticsearch was restarted with option all by user admin

3. A continuación se muestra un ejemplo de un ElasticSearch en buen estado.

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877131 07:38:51  __pan_cluster__ green           1         1     32  32    0    0        0             0                  -                100.0%

8. Si faltan registros o hay retrasos, consulte Retrasos en el reenvío de registros o Registros faltantes debido a una alta latencia entre recopiladores de registros en un grupo de recopiladores .