Panorama kann das Protokoll nicht vom Strata Logging Service (SLS) oder Cortex Data Lake (CDL) abrufen.

Panorama kann das Protokoll nicht vom Strata Logging Service (SLS) oder Cortex Data Lake (CDL) abrufen.

10563
Created On 01/10/23 02:03 AM - Last Modified 06/02/25 08:19 AM


Symptom


  • Fehler in /var/log/pan/logging-services-jobs.log
Error String  : No matching results found! Empty hits array in Response
  • Fehler in /var/log/pan/reportd.log
process_json_query_result: Cloud resp return empty hits array, no matching data found !!

Environment


  • Palo Alto Firewalls
  • Prisma Access Firewalls
  • Panorama
  • Cloud-Dienste-Plugin
  • Strata-Logging-Dienst

Cause


Es gibt mehrere Gründe, warum das Protokoll nicht auf Panorama angezeigt wird:

  • Die doppelte Protokollierung ist auf den Firewalls aktiviert und die Firewalls leiten ihre Protokolle an die Cloud und an die Protokollsammler weiter.
  • In einigen Umgebungen mit mehreren Mandanten kann es zu einer falschen Zuordnung der Seriennummer des Panoramas zur SLS-Instanz kommen.
  • Wenn Panorama mit hoher Verfügbarkeit bereitgestellt wird und beide Panorama-Geräte nicht zum SLS-Inventar hinzugefügt werden.

Resolution


  1. Überprüfen Sie, ob das Protokoll tatsächlich in der Cloud sichtbar ist
    Melden Sie sich beim Hub Portal an und starten Sie dann die SLS App.
    Gehen Sie zur Registerkarte „Erkunden“ und bestätigen Sie, dass das Protokoll vorhanden ist.

  1. Überprüfen Sie, ob die Lizenz für den „Logging Service“ gültig ist.
    Führen Sie auf Panorama CLI den Befehl aus
> request license info
request-license-info

  1. Stellen Sie sicher, dass die Ports geöffnet sind, damit Panorama auf die Cloud zugreifen kann. Siehe Aktivierung und Onboarding/Planung/Ports und FQDNS .
  1. Überprüfen Sie, ob Panorama über das richtige Zertifikat verfügt und ob die Verbindung mit der Cloud in OK ist.
    Führen Sie auf Panorama CLI den Befehl aus
> request plugins cloud_services logging-service status
request plugins cloud_services

  1. Überprüfen Sie die Zertifikat und den Status.
    Führen Sie auf Panorama CLI den Befehl aus
> show plugins cloud_services panorama-certificate status
show plugins cloud_services

  1. ( Nur Prisma ) Überprüfen Sie, ob Panorama die Informationen von der richtigen Mandanten-ID abruft und der Status „ Erfolgreich“ lautet.
    Führen Sie auf Panorama CLI den Befehl aus
    Anmeldung sich dann beim SLS-Web-Dashboard an und überprüfen Sie, ob die Mandanten-ID mit der im folgenden Befehl zurückgegebenen Mandanten-ID übereinstimmt.
> debug plugins cloud_services gpcs echo-test
debug plugins cloud_services

  1. Stellen Sie sicher, dass die Duplikatprotokollierung auf den Firewalls nicht aktiviert ist.
    Wenn die doppelte Protokollierung aktiviert ist, wird das Protokoll in SLS von Panorama nicht aus der Cloud abgerufen. Panorama fragt nur nach Protokollen ab, die nicht dupliziert sind. Dieses Verhalten kann nicht geändert werden.
SELECT * FROM panw.traffic ORDER BY time_generated DESC WHERE ((( is_dup_log is MISSING ) OR ( is_dup_log = 0 )

  1. Überprüfen Sie im SLS- Portal im Abschnitt „Inventar“, ob alle Panorama-Seriennummern hinzugefügt wurden, einschließlich der primären und sekundären Panoramageräte.

  1. Überprüfen Sie, ob die Konfiguration auf dem HA Paar von Panorama die Seriennummer des anderen Peers hat
    Panorama > Hohe Verfügbarkeit > Setup > Peer HA Serial
peer-ha


Additional Information


Administratorhandbuch zur Fehlerbehebung
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG9bCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language