PA 5400 - Aucun journal n’est visible sur le trafic, le filtrage, les firewall journaux de menaces, URL etc.
23798
Created On 10/05/21 09:46 AM - Last Modified 05/17/23 03:26 AM
Symptom
Après le déploiement PA de la série firewall 5400 (PA5450), aucun journal local n’apparaît sous l’onglet Surveiller.
Environment
PA Série firewall5400 .
Cause
- High-Speed-Log Forwarding Mode(HSFM) est activé par défaut sur les pare-feu de la série 5400 alors qu’il est désactivé par défaut sur PA les PA pare-feu des séries 7000 et PA 5200.
- Lorsque HSFM cette option est activée, tout le stockage local des journaux est désactivé.
- Par conséquent, il n’y aura pas de journaux visibles sous l’onglet Surveillance.
Resolution
Désactiver HSFM à partir de GUI,
1. Configuration de la > de l’appareil > Paramètres de journalisation et de création de rapports > Exportation de journaux et création de rapports > [Décocher] Activer le transfert de journaux haute vitesse > OK
2. Validez la configuration.
Désactiver HSFM à partir de CLI.
admin@PA-5450> configure Entering configuration mode [edit] admin@PA-5450# set deviceconfig setting management enable-high-speed-log-forwarding no [edit] admin@PA-5450# commitUne fois que le transfert de journaux haute vitesse est désactivé et que la configuration est validée, vérifiez les journaux de trafic pour voir si les journaux commencent à apparaître.
Additional Information
- Par défaut, les journaux seront écrits sur le stockage sur disque système.
- Pour une période de rétention des journaux plus longue, un disque de journalisation supplémentaire devra être installé sur le firewallfichier .
- Ce disque de journalisation devra être activé pour l’utiliser comme disque de journalisation local.