Firewall から頻繁に切断するPanorama| | Commit-All スタック
8268
Created On 01/17/23 03:12 AM - Last Modified 11/16/23 03:04 AM
Symptom
- するときデバイスへのプッシュからPanorama管理するfirewall、Commit-All ジョブが長時間 0% で停止しています。
admin@LAB(primary-active)> show jobs all
Enqueued Dequeued ID PositionInQ Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/01/15 19:32:35 19:32:35 5185871 CommitAll ACT OK 0 %
2023/01/15 19:18:58 19:18:58 5185724 CommitAll ACT OK 0 %
2023/01/15 19:11:30 19:11:30 5185634 CommitAll ACT OK 0 %
- Firewall からの切断が頻繁に見られますPanorama(のPanorama-->管理対象デバイス-->概要ORシステムログ)
- 間のパケットキャプチャではfirewallとPanorama、 頻繁TCPウィンドウがいっぱいまたTCPゼロウィンドウから見たPanoramaIP.
Environment
- によって管理される PanOS ファイアウォール Panorama
Cause
- を確認してください受信-Qの上Panorama(または送信-Qの上Firewall) netstat コマンドを実行してfirewall問題:
admin@LAB(primary-active)> show netstat numeric-hosts yes numeric-ports yes | match 10.129.70.112
tcp6 2479433 0 10.129.70.180:3978 10.129.70.112:49021 ESTABLISHED
- A 価値の高い受信-Q意味Panoramaほど速くログを取り込むことはできません。firewall送信しています。
- Panorama 管理とロギングの両方を行うTCP3978 を 1 つのチャネルで。 これにより、チャネルが過負荷になり、Firewall切断の問題。
Resolution
- 下の「Log Collector Preference List」を構成して、管理チャネルとロギング チャネルを分離します。Panorama -->コレクタ グループ-->デバイス ログ転送-->ログ転送設定。
Additional Information
- 詳しくはログコレクター設定リスト