通过传输方法SSL配置syslog后出现“syslog-ng 无法检索CRL ”错误

通过传输方法SSL配置syslog后出现“syslog-ng 无法检索CRL ”错误

4432
Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM


Symptom


  • 设置通过SSL进行syslog转发后,连接失败,并显示以下系统日志消息:
Syslog 连接服务器失败 ['AF_INET.xxxxx:10514.']
Syslog 与服务器的连接中断 ['AF_INET.xxxxx:10514.']
  • 更详细的日志可以在syslog-ng.log中看到:
PA-5220>尾部跟随 yes mp-log syslog-ng.log
9 月 3 日 13:23:18 fw01 syslog-ng[13884]: syslog-ng 无法检索CRL ;idx='0'、rt1='1792'、 URI='http://crl.xxxxx.com/AAACertificateServices.crl'

Environment


  • 帕洛阿尔托防火墙。
  • PAN-OS 9.1 及以上版本。
  • 系统日志

Cause


syslog-ng.log 中的错误消息可能出现在两种情况下:

  • 当CRL服务器不可访问时。
  • 当CRL服务器可访问,但在CRL响应中没有CRL列表时。

Resolution


  1. 确保可以通过防火墙的管理接口访问CRL服务器。
  2. 可以使用 Ping 命令来检查连通性:
PA-5220> ping主机
56(84)字节的数据。
64 字节来自:icmp_seq=1 ttl=117 时间=2.74 毫秒
64 字节来自:icmp_seq=2 ttl=117 时间=2.69 毫秒
  1. Netstat 命令可用于检查连接是否建立:
PA-5220>显示 netstat 数字是程序是|匹配
活动互联网连接(无服务器)
Proto Recv-Q Send-Q 本地地址 外部地址 状态
TCP 0 0 :2049 :80 已建立

笔记:

Additional Information


  • 不支持为syslog设置CRL状态服务路由。CRL 状态服务路由主要用于 PAN-OS ,而syslog的功能则依赖于 syslog-ng lib。
  • 即使为syslog配置了通过数据平面接口发送的服务路由, CRL请求仍将通过管理接口发起。

    如何通过TLS设置 Syslog 监控
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kH56CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language