So beheben Sie einen Verbindungsfehler zwischen firewall CDL.
Objective
Beheben eines Verbindungsfehlers zwischen dem firewall und Cortex Data Lake (CDL).
Environment
- Firewall
- Cortex Data Lake (CDL)
Procedure
- Allgemeine Statusprüfung. CLI Im Folgenden finden Sie Informationen und potenzielle Probleme im Zusammenhang mit der Lizenzierung, Kundeninformationen (Mandant ID, Erfassungs-/Abfrage-FQDNs) und dem tatsächlichen Protokollierungsstatus.
- Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
> request logging-service-forwarding status
- Verwenden Sie für die Logging-Service-Einstellung Doppelte Protokollierung aktivieren (Cloud und On-Premise):
> debug log-receiver log-forwarding-connections status
- Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
- Bestätigen Sie, dass die Lizenz gültig ist, indem CLI Sie in Schritt 1 oder in Schritt 1 verwenden:
> request license info
Überprüfen Sie Cortex die Data Lake-Lizenz. - Vergewissern Sie sich, dass der Zertifikatsstatus erfolgreich ist. Suchen Sie nach Fehlern bei Zertifikaten und OCSP bei CLI der Ausgabe in Schritt 1 oder von:
- Für firewall die Ausführung von 10.0 oder früher
> request logging-service-forwarding certificate info
- Für firewall die Ausführung von 10.1 oder höher
> show device-certificate info > show device-certificate status
- Für firewall die Ausführung von 10.0 oder früher
- Überprüfen Sie, ob die Kundeninformationen korrekt sind und nicht fehlen (z. B. Region, API FQDNs) in der Ausgabe in CLI 1 oder von:
> request logging-service-forwarding customerinfo show
- Überprüfen Sie, ob der Protokollierungsstatus aktiv und verbunden ist. Wenn keine Verbindung besteht, sehen Sie sich die einzelnen Prüfungen an, die im Protokollierungsstatus (DNS, Registrierung, SSL, TCP) aus der Ausgabe in Schritt 1 oder aus CLI angezeigt werden:
- Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
> show logging-status
Für den Cortex Data Lake ist der Agent > Protokollsammlungsdienst
"Protokollsammlungs-Protokollweiterleitungs-Agent" ist aktiv und mit <IP_address> verbunden. - Verwenden Sie für die Logging-Service-Einstellung Doppelte Protokollierung aktivieren (Cloud und On-Premise):
> debug log-receiver rawlog_fwd_trial stats global show > debug log-receiver rawlog_fwd_trial connmgr
- Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
- Überprüfen Sie bei Verbindungsproblemen, ob die erforderlichen Ports von firewall bis zu Protokollierungsdiensten zulässig sind. Überprüfen Sie TCP die Ports und FQDNs, die für Cortex Data Lake erforderlich sind.
- Erfassen SSL Sie bei Handshake-Problemen eine Paketerfassung entweder auf der Verwaltungsschnittstelle oder auf der Schnittstelle, mit der eine Verbindung hergestellt CDL wird, und überprüfen Sie, ob der DP SSL Handshake abgeschlossen wird.
> request logging-service-forwarding status Logging Service Licensed: Yes Logging Service forwarding enabled: Yes Duplicate logging enabled: No Enhanced application logging enabled: No
Ausgabe, wenn der Zertifikatsstatus 10.0 und früher gültig ist
Logging Service Certificate information: Info: Successfully fetched Logging Service certificate Not Valid after: 2022-05-03 15:23:49 Not Valid before: 2022-02-02 15:23:49 Status: success Last fetched: 2022/02/08 15:44:43
Ausgabe, wenn der Zertifikatsstatus gültig ist 10.1 und höher
Device Certificate information: Current device certificate status: Valid Not valid before: 2022/09/12 04:19:11 PDT Not valid after: 2022/12/11 03:19:11 PST Last fetched timestamp: 2022/09/12 04:29:12 PDT Last fetched status: success Last fetched info: Successfully fetched Device Certificate
Ausgabe, wenn die Kundeninformationen korrekt sind. Es sollten keine Felder wie Region fehlen. API, FQDNs
Logging Service Customer file information: Customer ID: 123456789 EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com Info: Successfully fetched Logging Service customer info Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444 Status: success Last Fetched: 2022/02/08 15:01:08
Ausgang für eine funktionierende Verbindung mit der logging service.
>Log Collection Service 'Log Collection log forwarding agent' is active and connected to 192.1.1.1 ================================================ connid: 192.1.1.1 ================================================ DNS : Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1) success 2022/02/08 15:44:43 Registration : registration request sent success 2022/02/08 15:44:45 SSL : ssl channel established to (192.1.1.1) success 2022/02/08 15:44:45 Status : Connection successful success 2022/02/08 15:44:45 TCP : tcp connection established success 2022/02/08 15:44:43 Connect-Agent-Status : connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1) success
Additional Information
Anmerkung 1: In der Dokumentation werden nur die paloalto-logging-service und paloalto-shared-services app-id aufgerufen, für die Sie Datenverkehr zulassen müssen, um sicherzustellen, dass eine firewall erfolgreiche Verbindung mit Cortex Data Lake hergestellt werden kann, aber Sie benötigen auch:
- Web-browsing
- SSL
- OCSP
Anmerkung 2: Weitere Informationen zur Fehlerbehebung bei der Konnektivität mit CDL finden Sie unter Fehlerbehebung Firewall
firewall bei Konnektivität Hinweis 3: Wenn es sich bei Palo Alto Networks Firewall um eine VM-Serien- und
> request logging-service-forwarding status Logging Service Licensed: No
check So rufen Cortex Sie die Data Lake-Lizenz für PA-VM.
Hinweis 4: Stellen Sie für 7k mit LFC Karte nach dem Upgrade auf 10.1 sicher, dass die Installation des Gerätezertifikats abgeschlossen ist, bevor Sie die doppelte Protokollierung aktivieren.
Hinweis 5: Die Auswirkungen einer abgelaufenen CDL Lizenz auf FW die Protokollweiterleitung an und die Protokollspeicherung CDL finden CDL Sie hier.
Hinweis 6: Nach dem Verlust der Verbindung zwischen FW und werden Protokolle in die Warteschlange gestellt und CDLgesendet, FW sobald die Verbindung wiederhergestellt ist.Wenn die Warteschlange vor dem Verbindungsaufbau voll ist, gehen einige Protokolle verloren. Verwenden Sie unten CLI , um dies zu überprüfen:
> show counter global filter delta yes | match queue_full