Se observa el error "syslog-ng no pudo recuperar la CRL" después de configurar syslog a través del método de transporte SSL

4478

Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM

Symptom

Después de configurar el reenvío de syslog a través de SSL, la conexión falla con el siguiente mensaje de registro del sistema:

La conexión de syslog falló con el servidor['AF_INET.xxxxx:10514.']

Conexión de syslog interrumpida al servidor['AF_INET.xxxxx:10514.']

Se pueden ver registros más detallados en syslog-ng.log:

PA-5220> cola sigue sí mp-log syslog-ng.log

3 de septiembre 13:23:18 fw01 syslog-ng[13884]: syslog-ng no pudo recuperar la CRL ; idx='0', rt1='1792', URI='http://crl.xxxxx.com/AAACertificateServices.crl'

Environment

Cortafuegos de Palo Alto.
PAN-OS 9.1 y superior.
Registro del sistema

Cause

El mensaje de error en syslog-ng.log puede aparecer en dos escenarios:

Cuando el servidor CRL no es accesible.
Cuando el servidor CRL es accesible, pero en la respuesta CRL no hay ninguna lista CRL presente.

Resolution

Asegúrese de que el servidor CRL sea accesible a través de la interfaz de administración del cortafuegos.
El comando ping se puede utilizar para comprobar la conectividad:

PA-5220> ping al host
SILBIDO 56(84) bytes de datos.
64 bytes desde : icmp_seq=1 ttl=117 tiempo=2,74 ms
64 bytes desde : icmp_seq=2 ttl=117 tiempo=2,69 ms

El comando Netstat se puede utilizar para comprobar si se ha establecido la conexión:

PA-5220> mostrar netstat numérico sí programas sí | coincidencia
Conexiones a Internet activas (sin servidores)
Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado
TCP 0 0 :2049 :80 ESTABLECIDO

Nota:

Additional Information