Firewall Häufiges Trennen der Verbindung zum Panorama | Commit-All stecken fest
8274
Created On 01/17/23 03:12 AM - Last Modified 11/16/23 03:04 AM
Symptom
- Wenn Sie einen Push an Geräte von Panorama zu verwaltet firewallausführen, bleibt der Commit-All-Job für eine lange Zeit bei 0% hängen.
admin@LAB(primary-active)> show jobs all
Enqueued Dequeued ID PositionInQ Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/01/15 19:32:35 19:32:35 5185871 CommitAll ACT OK 0 %
2023/01/15 19:18:58 19:18:58 5185724 CommitAll ACT OK 0 %
2023/01/15 19:11:30 19:11:30 5185634 CommitAll ACT OK 0 %
- Firewall wird häufig die Verbindung getrennt von (In -->PanoramaVerwaltete Geräte-->Zusammenfassung OR der Panorama Systemprotokolle)
- Bei der Paketerfassung zwischen firewall und Panoramawird häufig Window TCP Full oder ZeroWindow von TCP Panorama IPgesehen.
Environment
- PanOS-Firewalls, die von Panorama
Cause
- Überprüfen Sie RecvQ- on (oder Send-Q on FirewallPanorama ), indem Sie den Befehl netstat für die betreffenden Punkte firewall ausführen:
admin@LAB(primary-active)> show netstat numeric-hosts yes numeric-ports yes | match 10.129.70.112
tcp6 2479433 0 10.129.70.180:3978 10.129.70.112:49021 ESTABLISHED
- A hoher Wert auf Recv-Q bedeutet, dass die Protokolle nicht so schnell aufgenommen werden können, Panorama wie sie firewall gesendet werden.
- Panorama Verwaltet und protokolliert beide über TCP 3978 mit einem einzigen Kanal. Dies kann den Kanal überlasten und Verbindungsprobleme verursachenFirewall .
Resolution
- Trennen Sie den Verwaltungs- und Protokollierungskanal, indem Sie "Log Collector Preference List" unter --> PanoramaCollector Groups-->Device Log Log Forwarding-->Log Forwarding Preferences konfigurieren.
Additional Information
- Weitere Informationen zur Protokollerfassungs-Einstellungsliste