Firewall se déconnecter fréquemment de Panorama | Commit-All bloqué
8280
Created On 01/17/23 03:12 AM - Last Modified 11/16/23 03:04 AM
Symptom
- Lorsque vous effectuez une poussée vers des appareils de Panorama à géré, firewallla tâche Commit-All est bloquée à 0% pendant une longue période.
admin@LAB(primary-active)> show jobs all
Enqueued Dequeued ID PositionInQ Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/01/15 19:32:35 19:32:35 5185871 CommitAll ACT OK 0 %
2023/01/15 19:18:58 19:18:58 5185724 CommitAll ACT OK 0 %
2023/01/15 19:11:30 19:11:30 5185634 CommitAll ACT OK 0 %
- Firewall est fréquemment vu en train de se déconnecter de Panorama (Dans -- Panorama>Périphériques gérés-->Récapitulatif OR des journaux système)
- Dans la capture de paquets entre firewall et Panorama, TCP Fenêtre pleine fréquente ou TCP ZeroWindow vue à partir de Panorama IP.
Environment
- Pare-feu PanOS gérés par Panorama
Cause
- Vérifiez le RecvQ- on (ou Send-Q on FirewallPanorama ) en exécutant la commande netstat pour le firewall en question:
admin@LAB(primary-active)> show netstat numeric-hosts yes numeric-ports yes | match 10.129.70.112
tcp6 2479433 0 10.129.70.180:3978 10.129.70.112:49021 ESTABLISHED
- A valeur élevée sur Recv-Q signifie Panorama n’est pas en mesure d’ingérer les journaux aussi rapidement que l’envoi firewall .
- Panorama fait de la gestion et de la journalisation à la fois sur TCP 3978 avec un seul canal. Cela peut surcharger le canal et provoquer des Firewall problèmes de déconnexion.
Resolution
- Séparez le canal de gestion et de journalisation en configurant « Liste des préférences du collecteur de journaux » sous -->Groupes de collecteurs-->Transfert de journaux de Panoramapériphériques-->Préférences de transfert de journaux.
Additional Information
- En savoir plus sur la liste des préférences Log Collector