Inter Log Collector 연결 문제를 해결하는 방법

• Panorama와 로그 수집기 연결 및 동기화와 관련된 문제를 해결합니다.
• 지침에 따라 사용자는 Panorama 및 Log Collector 설정에서 일반적인 문제를 진단하고 해결할 수 있습니다.
• 논의된 문제 중 일부는 일반적으로 셋업 에서 발견됩니다.

• • 방화벽 로그는 Panorama/Log Collector로 전송되지 않습니다.
  • Log Collector가 Panorama와 연결이 끊어졌습니다.
  • 쿼리가 실행되면 일부 로그가 누락되거나 지연됩니다.

• 모든 파노라마
• 통나무 수집가
• PAN-OS 10.0 이상.

1. 파노라마(Panorama 모드 및/또는 Log Collector 모드 )가 통신할 수 있는 적절한 권한이 있는지 확인하세요.
   1. 문제 해결 Panorama 연결을 사용하세요.
   2. 방화벽 이 중간에 있는 경우 장치 간의 TCP 포트 28270이 열려 있는지 확인하세요.
   3. PAN-OS 11.1 버전 이상을 사용하는 경우 포트 28과 포트 9300-9302가 열려 있는지 확인하십시오. LC 간 통신은 이러한 포트를 사용합니다.
2. 장치 간에 연결이 끊기는 현상이 있는지 확인하고, 아래 명령을 몇 번 실행하여 자주 연결이 끊어지거나 다시 연결되는 현상이 나타나는지 확인하세요.

> show netstat numeric yes | match 28270
Proto Recv-Q Send-Q Local Address           Foreign Address         State   

3. 파노라마/로그 수집기 간의 작동 통신이 중단된 경우:
   1. > less mp-log ms.log 명령을 사용하여 ms.log에서 오류 메시지를 확인하세요.

01:20:06.757 -0700 COMM: connection established. sock=29 remote ip=10.253.0.106 port=3978 local port=60640
01:20:06.757 -0700 cms agent: Pre. send buffer limit=46080. s=29
01:20:06.757 -0700 cms agent: Post. send buffer limit=425984. s=29
01:20:06.757 -0700 Error: cs_load_certs_ex(cs_common.c:655): keyfile not exists
01:20:06.757 -0700 Error: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:883): cms agent: cs_load_certs_ex failed
01:20:06.757 -0700 cmsa: client will use default context
01:20:06.757 -0700 Warning: pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:988): client will not use SNI

09:13:27.723 -0800 Error: sc3_ca_exists(sc3_certs.c:221): SC3: Failed to get the current CA name. 
09:13:27.723 -0800 Warning: sc3_init_sc3(sc3_utils.c:351): SC3: Failed to get the Current CC name

2. 전용 로그 수집기에서 ms.log에 표시된 sc3 문제는 연결을 재설정하여 해결할 수 있습니다. 방화벽 과 파노라마 간의 보안 통신을 재설정하는 방법을 참조하세요.
3. Panorama 관리 방화벽이나 혼합 모드에서 sc3 reset 명령을 실행하지 마십시오 . 해결책은 지원 에 문의하십시오. 명령을 실행하면 모든 방화벽이 Panorama에서 연결이 끊어집니다.

4. Collector Group 의 장치 중 하나에 업그레이드가 있었나요? 그렇다면 Collector Group 내의 모든 장치가 동일한 버전을 실행하도록 하세요.
5. 두 장치에서 관리 서버를 다시 시작하여 연결을 재설정합니다.

debug software restart process management-server

6. Panorama의 관점에서 모든 통나무 수집기가 정상인지 확인합니다. 여기에는 Panorama 지역의 통나무 수집기도 포함됩니다.
   1. Panorama의 GUI에서: Panorama > 관리 > 수집기
   2. 발생한 문제에 따라 다음 KB를 적절히 사용하세요.
      1. " 동기화 안 됨" 및 "연결 끊김" 상태 표시하는 로그 수집기
      2. 링 버전 불일치를 보여주는 로그 수집기
      3. "관리 인터페이스 의 IP 불일치"로 인해 로그 수집기가 '동기화되지 않음'을 표시함
7. Panorama에 로컬인 Log Collector를 포함하여 Log Collector의 ElasticSearch가 정상인지 확인합니다.
   1. 아래는 건강에 해로운 ElasticSearch의 샘플입니다.

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877500 07:45:00  __pan_cluster__ red             1         1    461 461    0    0      115             0                  -     80.03472222222221

2. 아래 명령을 사용하여 ElasticSearch를 다시 시작하고 상태를 다시 확인합니다. 여러 로그 수집기가 구성된 경우 문제가 있는 로그 수집기를 식별한 다음 실패한 로그 수집기에서 Elasticsearch를 다시 시작해야 합니다. 도움이 필요하면 지원팀 에 문의하세요.

admin@Log_Collector> debug elasticsearch es-restart option all
Elasticsearch was restarted with option all by user admin

3. 아래는 건강한 ElasticSearch의 샘플입니다.

admin@Log_Collector> debug elasticsearch es-state option health 

epoch      timestamp cluster         status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1683877131 07:38:51  __pan_cluster__ green           1         1     32  32    0    0        0             0                  -                100.0%

8. 로그가 누락되거나 지연되는 경우, 수집기 그룹 내 로그 수집기 간 대기 시간이 길어 로그 전달 지연 또는 로그 누락을 참조하세요.