Panorama no puede obtener el registro de Strata Logging Service (SLS) o Cortex Data Lake (CDL)

Panorama no puede obtener el registro de Strata Logging Service (SLS) o Cortex Data Lake (CDL)

7691
Created On 01/10/23 02:03 AM - Last Modified 06/02/25 08:19 AM


Symptom


  • Error en /var/log/pan/logging-services-jobs.log
Error String  : No matching results found! Empty hits array in Response
  • Error en /var/log/pan/reportd.log
process_json_query_result: Cloud resp return empty hits array, no matching data found !!

Environment


  • Cortafuegos de Palo Alto
  • Cortafuegos de acceso Prisma
  • Panorama
  • Complemento de servicios en la nube
  • Servicio de registro de estratos

Cause


Hay varias razones por las que el registro no aparece en Panorama:

  • El registro duplicado está habilitado en los firewalls y estos envían sus registros a la nube y a los recopiladores de registros.
  • En algunos entornos multiinquilino, puede haber una asignación incorrecta del número de serie de Panorama con la instancia de SLS.
  • Si Panorama se implementa en alta disponibilidad y ambos dispositivos Panorama no se agregan al inventario de SLS.

Resolution


  1. Verificar que el registro esté realmente visible en la Nube
    Inicie sesión en el portal Hub y luego inicie la aplicación SLS.
    Vaya a la pestaña "Explorar" y confirme que el registro esté presente.

  1. Verifique que la licencia del “Servicio de registro” sea válida.
    En Panorama CLI, ejecute el comando
> request license info
request-license-info

  1. Verifique que los puertos estén abiertos para que Panorama pueda acceder a la nube. Consulte Activación e incorporación/planificación/puertos y FQDNS .
  1. Verifique que Panorama tenga el certificado correcto y que la conectividad con la nube sea OK
    En Panorama CLI, ejecute el comando
> request plugins cloud_services logging-service status
request plugins cloud_services

  1. Verificar los detalles y el estado del certificado .
    En Panorama CLI, ejecute el comando
> show plugins cloud_services panorama-certificate status
show plugins cloud_services

  1. ( Solo Prisma ) Verifique que Panorama esté obteniendo la información del ID de inquilino correcto y que el estado de respuesta sea "éxito".
    En Panorama CLI, ejecute el comando
    Luego, inicio de sesión en el panel web de SLS y verifique que el ID del inquilino coincida con el ID del inquilino devuelto en el siguiente comando.
> debug plugins cloud_services gpcs echo-test
debug plugins cloud_services

  1. Verifique que el registro duplicado no esté habilitado en los firewalls.
    Si el registro duplicado está habilitado, Panorama no recuperará el registro en SLS de la nube. Panorama solo consulta los registros no duplicados, y este comportamiento no se puede modificar.
SELECT * FROM panw.traffic ORDER BY time_generated DESC WHERE ((( is_dup_log is MISSING ) OR ( is_dup_log = 0 )

  1. Verifique en el portal web de SLS, en la sección de inventario, que estén agregados todos los números de serie de Panorama, incluidos los dispositivos Panorama Primario y Secundario.

  1. Verifique que la configuración de alta disponibilidad en el Par de HA de Panorama tenga el número de serie del otro par
    Panorama > Alta disponibilidad > Configuración > Alta disponibilidad de pares en serie
peer-ha


Additional Information


Guía de administración para la resolución de problemas
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG9bCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language