転送方法SSLでsyslog を設定した後、「syslog-ng はCRLを取得できませんでした」というエラーが表示される
4436
Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM
Symptom
- SSL経由のsyslog転送を設定した後、以下のシステム ログ メッセージが表示されて接続が失敗します。
|
サーバー['AF_INET.xxxxx:10514.']へのSyslog接続に失敗しました
サーバー['AF_INET.xxxxx:10514.']へのSyslog接続が切断されました
|
- より詳細なログは syslog-ng.log で確認できます。
|
PA-5220>テール フォロー はい mp-log syslog-ng.log
9月3日 13:23:18 fw01 syslog-ng[13884]: syslog-ngはCRLを取得できませんでした; idx='0'、rt1='1792'、 URI='http://crl.xxxxx.com/AAACertificateServices.crl'
|
Environment
- Palo Alto ファイアウォール。
- PAN-OS 9.1 以上。
- シスログ
Cause
syslog-ng.log のエラー メッセージは、次の 2 つのシナリオで表示される場合があります。
- CRLサーバーにアクセスできない場合。
- CRLサーバーに到達可能であるが、 CRL応答にCRLリストが存在しないとき。
Resolution
- ファイアウォールの管理インターフェイス経由でCRLサーバーにアクセスできることを確認します。
- 接続を確認するには、ping コマンドを使用できます。
| PA-5220>ホストへのping ピン56(84)バイトのデータ。 64バイトから: icmp_seq=1 ttl=117 時間=2.74 ミリ秒 64バイトから: icmp_seq=2 ttl=117 時間=2.69 ミリ秒 |
- Netstat コマンドを使用して、接続が確立されているかどうかを確認できます。
| PA-5220> show netstat 数値 yes プログラム yes | 一致 アクティブなインターネット接続(サーバーなし) プロトコル 受信-Q 送信-Q ローカルアドレス 外部アドレス 状態 0 ... :2049 :80 設立 |
注記:
Additional Information
- syslogのCRLステータスサービス ルートの設定はサポートされていません。CRL ステータスサービス ルートは主にCRL -OS を対象としていますが、 syslogの機能は syslog-ng ライブラリに依存します。
- データプレーンインターフェイス経由でsyslog を送信するようにサービス ルートが構成されている場合でも、 CRL要求は管理インターフェイス経由で開始されます。
TLS経由で Syslog モニタリングを設定する方法