Panorama ne parvient pas à récupérer le journal depuis Strata Logging Service (SLS) ou Cortex Data Lake (CDL)

Panorama ne parvient pas à récupérer le journal depuis Strata Logging Service (SLS) ou Cortex Data Lake (CDL)

10573
Created On 01/10/23 02:03 AM - Last Modified 06/02/25 08:18 AM


Symptom


  • Erreur dans /var/log/pan/logging-services-jobs.log
Error String  : No matching results found! Empty hits array in Response
  • Erreur dans /var/log/pan/reportd.log
process_json_query_result: Cloud resp return empty hits array, no matching data found !!

Environment


  • Pare-feu de Palo Alto
  • Pare-feu Prisma Access
  • Panorama
  • Plugin de services cloud
  • Service d'enregistrement des strates

Cause


Il existe plusieurs raisons pour lesquelles le journal n'apparaît pas sur Panorama :

  • La journalisation en double est activée sur les pare-feu et les pare-feu transmettent leurs journaux au cloud et aux collecteurs de journaux.
  • Dans certains environnements multi-locataires, il peut y avoir un mappage incorrect du numéro de série du Panorama avec l'instance SLS.
  • Si Panorama est déployé en haute disponibilité et que les deux périphériques Panorama ne sont pas ajoutés à l'inventaire SLS.

Resolution


  1. Vérifiez que le journal est réellement visible dans le Cloud
    Connectez-vous au portail Hub, puis lancez l' appli SLS.
    Allez dans l'onglet « Explorer » et confirmez que le journal est présent.

  1. Vérifiez que la licence « Service de journalisation » est valide.
    Sur Panorama CLI , exécutez la commande
> request license info
request-license-info

  1. Vérifiez que les ports sont ouverts pour permettre à Panorama d'accéder au cloud. Consultez la section Activation-and-onboarding/planning/ports-and-fqdns .
  1. Vérifiez que Panorama dispose du bon certificat et que la connectivité avec le cloud est OK
    Sur Panorama CLI , exécutez la commande
> request plugins cloud_services logging-service status
request plugins cloud_services

  1. Vérifiez les détails et le état du certificat .
    Sur Panorama CLI , exécutez la commande
> show plugins cloud_services panorama-certificate status
show plugins cloud_services

  1. ( Prisma uniquement ) Vérifiez que Panorama récupère les informations à partir de l'ID de locataire correct et que l' état de la réponse est « succès ».
    Sur Panorama CLI , exécutez la commande
    Ensuite, connexion au tableau de bord Web SLS et vérifiez que l'ID du locataire correspond à l'ID du locataire renvoyé dans la commande ci-dessous
> debug plugins cloud_services gpcs echo-test
debug plugins cloud_services

  1. Vérifiez que la journalisation en double n’est pas activée sur les pare-feu.
    Si la journalisation en double est activée, le journal SLS ne sera pas récupéré depuis le cloud par Panorama. Panorama interroge uniquement les journaux non dupliqués, et ce comportement ne peut pas être modifié.
SELECT * FROM panw.traffic ORDER BY time_generated DESC WHERE ((( is_dup_log is MISSING ) OR ( is_dup_log = 0 )

  1. Vérifiez sur le portail Web SLS, dans la section inventaire, que tous les numéros de série Panorama sont ajoutés, y compris les périphériques Panorama principaux et secondaires.

  1. Vérifiez que la configuration haute disponibilité sur la paire HA de Panorama possède le numéro de série de l'autre homologue
    Panorama > Haute disponibilité > Configuration > Peer HA Serial
peer-ha


Additional Information


Guide de dépannage de l'administrateur
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG9bCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language