Panorama 无法从 Strata Logging Service (SLS) 或 Cortex Data Lake (CDL) 获取日志

• /var/log/pan/logging-services-jobs.log 中的错误

Error String  : No matching results found! Empty hits array in Response

• /var/log/pan/reportd.log 中的错误

process_json_query_result: Cloud resp return empty hits array, no matching data found !!

• Palo Alto防火墙
• Prisma Access 防火墙
• 全景
• 云服务插件
• 地层测井服务

日志未出现在 Panorama 上的原因有多种：

• 防火墙上启用了重复日志记录，并且防火墙将其日志转发到云端和日志收集器。
• 在某些多租户环境中，Panorama 的序列号与 SLS 实例的映射可能不正确。
• 如果 Panorama 部署在高可用性环境中，并且两个 Panorama 设备都未添加到 SLS 清单中。

1. 验证日志在云中是否可见
   登录 Hub门户，然后启动 SLSapp。
   转到“探索”选项卡并确认日志存在。

2. 验证“日志服务”许可证是否有效。
   在 Panorama CLI上运行命令

> request license info

3. 验证端口是否已打开，以允许 Panorama 访问云。请参阅激活和入职/规划/端口和 fqdns 。

4. 验证 Panorama 是否具有正确的证书，以及与云的连接是否OK
   在 Panorama CLI上运行命令

> request plugins cloud_services logging-service status

5. 验证证书详细信息和状态。
   在 Panorama CLI上运行命令

> show plugins cloud_services panorama-certificate status

6. （仅限 Prisma ）验证 Panorama 是否从正确的租户 ID 获取信息，并且响应状态为“成功”。
   在 Panorama CLI上运行命令
   然后，登录SLS Web 仪表板并验证租户 ID 是否与以下命令中返回的租户 ID 匹配

> debug plugins cloud_services gpcs echo-test

7. 验证防火墙上未启用重复日志记录。
   如果启用了重复日志记录，Panorama 将不会从云端检索 SLS 中的日志。Panorama 仅查询非重复的日志，并且此行为无法修改。

SELECT * FROM panw.traffic ORDER BY time_generated DESC WHERE ((( is_dup_log is MISSING ) OR ( is_dup_log = 0 ) 

8. 在 SLS Web门户的库存部分验证所有全景序列号是否已添加，包括主全景设备和辅助全景设备。

9. 验证 Panorama HA 对对上的高可用性配置是否具有另一个对等体的序列号
   全景 > 高可用性 > 设置 > 对等HA串行

故障排除管理指南