Erreur « syslog-ng n'a pas pu récupérer la CRL» observée après la configuration de syslog via la méthode de transport SSL

4430

Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM

Symptom

Après avoir configuré la transmission syslog via SSL, la connexion échoue avec le message de journal système ci-dessous :

La connexion Syslog au serveur a échoué ['AF_INET.xxxxx:10514.']

Connexion Syslog au serveur interrompue ['AF_INET.xxxxx:10514.']

Des journaux plus détaillés peuvent être consultés dans syslog-ng.log :

PA-5220> suivi de queue oui mp-log syslog-ng.log

3 sept. 13:23:18 fw01 syslog-ng[13884] : syslog-ng n'a pas pu récupérer la CRL ; idx='0', rt1='1792', URI='http://crl.xxxxx.com/AAACertificateServices.crl'

Environment

Pare-feu de Palo Alto.
PAN-OS 9.1 et supérieur.
Journal système

Cause

Le message d'erreur dans syslog-ng.log peut apparaître dans deux scénarios :

Lorsque le serveur CRL n'est pas accessible.
Lorsque le serveur CRL est accessible, mais qu'aucune liste CRL n'est présente dans la réponse CRL .

Resolution

Assurez-vous que le serveur CRL est accessible via l' interface de gestion du pare-feu.
La commande Ping peut être utilisée pour vérifier la connectivité :

PA-5220> ping hôte
PING 56(84) octets de données.
64 octets de : icmp_seq=1 ttl=117 temps=2,74 ms
64 octets de : icmp_seq=2 ttl=117 temps=2,69 ms

La commande Netstat peut être utilisée pour vérifier si la connexion est établie :

PA-5220> afficher netstat numérique oui programmes oui | match
Connexions Internet actives (sans serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État
tcp 0 0 :2049 :80 ÉTABLI

Note:

Additional Information