ログコレクター間の接続の問題をトラブルシューティングする方法

• Panorama およびログ コレクターの接続と同期に関連する問題をトラブルシューティングして解決します。
• 指示に従うことで、ユーザーは Panorama および Log Collector のセットアップにおける一般的な問題を診断し、修正できるようになります。
• セットアップで一般的に見られる問題のいくつかについて説明します。

• • ファイアウォール ログは Panorama/Log Collector に送信されません。
  • ログ コレクターは Panorama から切断されています。
  • クエリの起動時に、一部のログが欠落または遅延します。

• あらゆるパノラマ
• ログコレクター
• PAN-OS 10.0 以上。

1. パノラマ (Panoramaモードおよび/またはログ コレクタ モード) が通信するための適切な権限が設定されていることを確認します。
   1. Panorama 接続のトラブルシューティングを使用します。
   2. ファイアウォールが中間にある場合は、デバイス間のTCPポート 28270 が開いていることを確認してください。
   3. PAN-OS 11.1 バージョン以降を使用する場合は、ポート 28 とポート 9300 ～ 9302 が開いていることを確認してください。LC 間通信ではこれらのポートが使用されます。
2. デバイス間の接続にフラッピングがないか確認し、以下のコマンドを数回実行して、頻繁な切断/再接続がないか確認します。

> show netstat numeric yes | match 28270
Proto Recv-Q Send-Q Local Address           Foreign Address         State   

3. パノラマ/ログ コレクター間の通信が機能しなくなった場合:
   1. コマンド> less mp-log ms.logを使用して、ms.log でエラー メッセージを確認します。

01:20:06.757 -0700 COMM: connection established. sock=29 remote ip=10.253.0.106 port=3978 local port=60640
01:20:06.757 -0700 cms agent: Pre. send buffer limit=46080. s=29
01:20:06.757 -0700 cms agent: Post. send buffer limit=425984. s=29
01:20:06.757 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
01:20:06.757 -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
01:20:06.757 -0700 cmsa: client will use default context
01:20:06.757 -0700 Warning: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:988): client will not use SNI

09:13:27.723 -0800 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. 
09:13:27.723 -0800 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name

2. 専用ログ コレクターでは、ms.log に表示される sc3 の問題は、接続をリセットすることで解決できます。 ファイアウォールと Panorama 間のセキュリティで保護された通信をリセットする方法を参照してください。
3. Panorama 管理ファイアウォールまたは混合モードで sc3 reset コマンドを実行しないでください。解決方法についてはサポートにお問い合わせください。コマンドを実行すると、すべてのファイアウォールが Panorama から切断されます。

4. コレクタ グループ内のデバイスの 1 つにアップグレードがありましたか? ある場合は、コレクタ グループ内のすべてのデバイスが同じバージョンを実行していることを確認してください。
5. 接続をリセットするには、両方のデバイスで管理サーバーを再起動します。

debug software restart process management-server

6. Panorama の観点から、Panorama のローカル ログ コレクターを含むすべてのログ コレクターが正常であることを確認します。
   1. Panorama の GUI から: Panorama > 管理対象 > コレクター
   2. 発生した問題に応じて、以下の KB を適宜使用してください。
      1. ログ コレクターのステータスが「同期されていません」および「切断されています」と表示される
      2. ログコレクターがリングバージョンの不一致を表示
      3. 「管理インターフェイスの IP が一致しない」ため、ログ コレクターに「同期されていません」と表示される
7. Panorama のローカル ログ コレクターを含め、ログ コレクターの ElasticSearch が正常であることを確認します。
   1. 以下は、正常でない ElasticSearch のサンプルです。

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877500 07:45:00  __pan_cluster__ red             1         1    461 461    0    0      115             0                  -     80.03472222222221

2. 以下のコマンドを使用して ElasticSearch を再起動し、状態を再確認します。複数のログ コレクターが設定されている場合は、問題のあるログ コレクターを特定し、障害のあるログ コレクターで elasticsearch を再起動する必要があります。ヘルプが必要な場合は、サポートにお問い合わせください。

admin@Log_Collector> debug elasticsearch es-restart option all
Elasticsearch was restarted with option all by user admin

3. 以下は正常な ElasticSearch のサンプルです。

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877131 07:38:51  __pan_cluster__ green           1         1     32  32    0    0        0             0                  -                100.0%

8. ログが欠落しているか遅延している場合は、 「コレクター グループ内のログ コレクター間の遅延が大きいためにログが欠落している」または「ログ転送の遅延」を参照してください。