Aucun journal visible dans Panorama-Collecteur de journaux avec ES l’intégrité du cluster en blanc
59451
Created On 12/07/22 10:10 AM - Last Modified 05/09/23 03:28 AM
Symptom
- Les journaux d’un collecteur de journaux ne sont pas visibles dans Panorama.
- ES L’intégrité du cluster est rouge ou vide lors de l’exécution de la commande >show log-collector-es-cluster health.
- Le processus « signalé » consomme plus de mémoire que prévu, générant une fuite de mémoire.
Environment
- PAN-OS est 10.1.X ci-dessous 10.1.8.
- Panorama.
- Collecteur de journaux en mode enregistreur ou en mode mixte.
Cause
- Il y a un problème bien connu. PAN-189270, où le processus « signalé » augmente continuellement sa consommation de mémoire, générant une fuite de mémoire.
- ES Le processus tente d’être redémarré, mais lorsque vous redémarrez, la mémoire disponible est insuffisante, ce qui échoue, pour cette raison, le résultat de la commande « show log-collector-es-cluster health » est vide.
Resolution
- Confirmez la croissance de la consommation de mémoire en examinant mp-monitor.log.4 et mp-monitor.log :
>less mp-log mp-monitor.log.4
reportd 9347 6 39 15430744 13388360 S
>less mp-log mp-monitor.log
reportd 9347 0 39 16886844 14264012 S *T La sortie ci-dessus confirme les deux, la consommation de mémoire augmente et la valeur est plus élevée que prévu. Cette valeur attendue peut varier en fonction de votre Panorama configuration.- Pour résoudre le problème :
- Effectuez une mise à niveau vers PAN-OS la version 10.1.8 pour obtenir un correctif permanent.
- Comme la mise à niveau n’est pas possible instantanément, exécutez les commandes suivantes :
>debug software restart process reportd
>debug elasticsearch es-restart option all* Cela ES peut prendre des heures pour être complètement synchronisé, vous devriez attendre un certain temps après avoir introduit les commandes.