So beheben Sie einen Verbindungsfehler zwischen firewall CDL.

So beheben Sie einen Verbindungsfehler zwischen firewall CDL.

34904
Created On 02/16/22 23:17 PM - Last Modified 10/31/23 02:59 AM


Objective


Beheben eines Verbindungsfehlers zwischen dem firewall und Cortex Data Lake (CDL).

Environment


  • Firewall
  • Cortex Data Lake (CDL)

Procedure


  1. Allgemeine Statusprüfung. CLI Im Folgenden finden Sie Informationen und potenzielle Probleme im Zusammenhang mit der Lizenzierung, Kundeninformationen (Mandant ID, Erfassungs-/Abfrage-FQDNs) und dem tatsächlichen Protokollierungsstatus.
    1. Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
      > request logging-service-forwarding status
    2. Verwenden Sie für die Logging-Service-Einstellung Doppelte Protokollierung aktivieren (Cloud und On-Premise):
      > debug log-receiver log-forwarding-connections status
  2. Bestätigen Sie, dass die Lizenz gültig ist, indem CLI Sie in Schritt 1 oder in Schritt 1 verwenden:
    > request license info
    Überprüfen Sie Cortex die Data Lake-Lizenz.
  3. Vergewissern Sie sich, dass der Zertifikatsstatus erfolgreich ist. Suchen Sie nach Fehlern bei Zertifikaten und OCSP bei CLI der Ausgabe in Schritt 1 oder von:
    1. Für firewall die Ausführung von 10.0 oder früher
      > request logging-service-forwarding certificate info
    2. Für firewall die Ausführung von 10.1 oder höher
      > show device-certificate info
> show device-certificate status
  1. Überprüfen Sie, ob die Kundeninformationen korrekt sind und nicht fehlen (z. B. Region, API FQDNs) in der Ausgabe in CLI 1 oder von:
    > request logging-service-forwarding customerinfo show
  2. Überprüfen Sie, ob der Protokollierungsstatus aktiv und verbunden ist. Wenn keine Verbindung besteht, sehen Sie sich die einzelnen Prüfungen an, die im Protokollierungsstatus (DNS, Registrierung, SSL, TCP) aus der Ausgabe in Schritt 1 oder aus CLI angezeigt werden:
    1. Verwenden Sie für die Protokollierungsdiensteinstellung Nur Data Lake-Weiterleitung aktivierenCortex:
      > show logging-status
      Für den Cortex Data Lake ist der Agent > Protokollsammlungsdienst
      "Protokollsammlungs-Protokollweiterleitungs-Agent" ist aktiv und mit <IP_address> verbunden.
    2. Verwenden Sie für die Logging-Service-Einstellung Doppelte Protokollierung aktivieren (Cloud und On-Premise):
      > debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr
  3. Überprüfen Sie bei Verbindungsproblemen, ob die erforderlichen Ports von firewall bis zu Protokollierungsdiensten zulässig sind. Überprüfen Sie TCP die Ports und FQDNs, die für Cortex Data Lake erforderlich sind.
  4. Erfassen SSL Sie bei Handshake-Problemen eine Paketerfassung entweder auf der Verwaltungsschnittstelle oder auf der Schnittstelle, mit der eine Verbindung hergestellt CDL wird, und überprüfen Sie, ob der DP SSL Handshake abgeschlossen wird.
Ausgabe, wenn die Lizenzierung gültig ist
> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

Ausgabe, wenn der Zertifikatsstatus 10.0 und früher gültig ist

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

Ausgabe, wenn der Zertifikatsstatus gültig ist 10.1 und höher

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

Ausgabe, wenn die Kundeninformationen korrekt sind. Es sollten keine Felder wie Region fehlen. API, FQDNs

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

Ausgang für eine funktionierende Verbindung mit der logging service.

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

 


 

Additional Information


Anmerkung 1: In der Dokumentation werden nur die paloalto-logging-service und paloalto-shared-services app-id aufgerufen, für die Sie Datenverkehr zulassen müssen, um sicherzustellen, dass eine firewall erfolgreiche Verbindung mit Cortex Data Lake hergestellt werden kann, aber Sie benötigen auch:

  • Web-browsing
  • SSL
  • OCSP

Anmerkung 2: Weitere Informationen zur Fehlerbehebung bei der Konnektivität mit CDL finden Sie unter Fehlerbehebung Firewall
firewall bei Konnektivität Hinweis 3: Wenn es sich bei Palo Alto Networks Firewall um eine VM-Serien- und

> request logging-service-forwarding status
Logging Service Licensed: No

check So rufen Cortex Sie die Data Lake-Lizenz für PA-VM.
Hinweis 4: Stellen Sie für 7k mit LFC Karte nach dem Upgrade auf 10.1 sicher, dass die Installation des Gerätezertifikats abgeschlossen ist, bevor Sie die doppelte Protokollierung aktivieren.
Hinweis 5: Die Auswirkungen einer abgelaufenen CDL Lizenz auf FW die Protokollweiterleitung an und die Protokollspeicherung CDL finden CDL Sie hier.
Hinweis 6: Nach dem Verlust der Verbindung zwischen FW und werden Protokolle in die Warteschlange gestellt und CDLgesendet, FW sobald die Verbindung wiederhergestellt ist.Wenn die Warteschlange vor dem Verbindungsaufbau voll ist, gehen einige Protokolle verloren. Verwenden Sie unten CLI , um dies zu überprüfen:

> show counter global filter delta yes | match queue_full

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oND3CAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language