SSL 전송 방법을 통해 syslog 구성한 후 "syslog-ng가 CRL 검색할 수 없습니다" 오류가 표시됨
4440
Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM
Symptom
- SSL 통해 syslog 전달을 설정한 후 아래 시스템 로그 메시지와 함께 연결이 실패합니다.
|
서버['AF_INET.xxxxx:10514.']에 대한 Syslog 연결이 실패했습니다.
서버['AF_INET.xxxxx:10514.']에 대한 Syslog 연결이 끊어졌습니다.
|
- 더 자세한 로그는 syslog-ng.log에서 볼 수 있습니다.
|
PA-5220> tail follow yes mp-log syslog-ng.log
9월 3일 13:23:18 fw01 syslog-ng[13884]: syslog-ng가 CRL 검색할 수 없습니다 . idx='0', rt1='1792', URI='http://crl.xxxxx.com/AAACertificateServices.crl'
|
Environment
- 팔로 알토 방화벽.
- PAN-OS 9.1 이상.
- 시스템로그
Cause
syslog-ng.log의 오류 메시지는 두 가지 시나리오로 나타날 수 있습니다.
- CRL 서버에 접근할 수 없는 경우.
- CRL 서버에 접근할 수 있으나 CRL 대응 에 CRL 목록이 없는 경우입니다.
Resolution
- 방화벽 의 관리 인터페이스 통해 CRL 서버에 접근할 수 있는지 확인하세요.
- Ping 명령을 사용하여 연결 여부를 확인할 수 있습니다.
| PA-5220> 핑(ping) 호스트 핑 56(84)바이트의 데이터. 64바이트부터 : icmp_seq=1 ttl=117 시간=2.74ms 64바이트부터 : icmp_seq=2 ttl=117 시간=2.69ms |
- Netstat 명령을 사용하면 연결이 설정되었는지 확인할 수 있습니다.
| PA-5220> show netstat numeric yes programs yes | match 활성 인터넷 연결(서버 없음) Proto Recv-Q Send-Q 로컬 주소 외국 주소 상태 TCP 0 0 :2049 :80 설립 |
메모:
Additional Information
- syslog 에 대한 CRL 상태 서비스 경로(service route) 설정은 지원되지 않습니다. CRL 상태 서비스 경로(service route) 는 주로 PAN-OS를 위한 것이고 syslog 의 기능은 syslog-ng 라이브러리에 따라 달라집니다.
- 데이터플레인 인터페이스 통해 syslog 전송하기 위한 서비스 경로(service route) 구성되어 있어도 CRL 요청 여전히 관리 인터페이스 통해 시작됩니다.
TLS 통한 Syslog 모니터링 설정 방법