Cómo solucionar un error de conexión entre el y CDL.firewall

Cómo solucionar un error de conexión entre el y CDL.firewall

34922
Created On 02/16/22 23:17 PM - Last Modified 10/31/23 02:59 AM


Objective


Solucionar un error de conexión entre Data firewall Lake (CortexCDL).

Environment


  • Firewall
  • Cortex Lago de datos (CDL)

Procedure


  1. Comprobación del estado general. CLI A continuación se mostrará información y posibles problemas relacionados con las licencias, la información del cliente (inquilino ID, FQDN de ingesta/consulta) y el estado de registro real.
    1. Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
      > request logging-service-forwarding status
    2. Para la configuración del servicio de registro, habilite el registro duplicado (en la nube y en las instalaciones), use:
      > debug log-receiver log-forwarding-connections status
  2. Confirme que la licencia es válida desde la salida del en el CLI paso 1 o desde:
    > request license info
    Compruebe Cortex la licencia de Data Lake.
  3. Confirme que el estado del certificado es correcto. Busque errores con los certificados y OCSP desde CLI la salida en el paso 1 o desde:
    1. Para firewall ejecutar 10.0 o versiones anteriores
      > request logging-service-forwarding certificate info
    2. Para firewall ejecutar 10.1 o posterior
      > show device-certificate info
> show device-certificate status
  1. Compruebe que la información del cliente es correcta y no falta (por ejemplo, región, API FQDN) de la salida en 1 o de CLI :
    > request logging-service-forwarding customerinfo show
  2. Compruebe que el estado del registro esté activo y conectado. Si no está conectado, mire las comprobaciones individuales que se muestran en el estado de registro (DNS, Registro, SSL, TCP) desde CLI la salida en el paso 1 o desde:
    1. Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
      > show logging-status
      Para el lago de datos, el Cortex agente está > servicio
      de recopilación de registros 'Agente de reenvío de registros de recopilación de registros' está activo y conectado a <IP_address>.
    2. Para la configuración del servicio de registro, habilite el registro duplicado (en la nube y en las instalaciones), use:
      > debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr
  3. Para problemas de conectividad, compruebe que los puertos necesarios están permitidos desde los servicios de firewall registro. TCP Compruebe los puertos y FQDN necesarios para Cortex Data Lake.
  4. Para SSL problemas de protocolo de enlace, recopile una captura de paquetes en la interfaz de administración o en la DP interfaz que se está utilizando para conectarse CDL y compruebe si el SSL protocolo de enlace se está completando.
Salida cuando la licencia es válida
> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

Salida cuando el estado del certificado es válido 10.0 y versiones anteriores 

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

Salida cuando el estado del certificado es válido 10.1 y versiones posteriores

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

Salida cuando la información del cliente es correcta. No deben faltar campos como la región. API, FQDN

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

Salida para una conexión de trabajo al logging servicearchivo .

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

 


 

Additional Information


Nota 1: La documentación solo solicita paloalto-logging-service y paloalto-shared-services app-id a los que debe permitir el tráfico para asegurarse de firewall que el puede conectarse correctamente a Cortex Data Lake, pero también necesitará:

  • navegación por la web
  • SSL
  • OCSP

Nota 2: Para obtener más información sobre cómo solucionar firewall problemas de conectividad con CDL , consulte Solución de problemas Firewall de conectividad
Nota 3: Si Palo Alto Networks Firewall es una VM-serie y

> request logging-service-forwarding status
Logging Service Licensed: No

consulte Cómo obtener la licencia de Cortex Data Lake para PA-VM.
Nota 4: Para 7k con LFC tarjeta después de la actualización a 10.1, asegúrese de que la instalación del certificado del dispositivo se realice antes de habilitar el registro duplicado.
Nota 5: El impacto de la licencia caducada CDL en el CDL reenvío de registros y el FW almacenamiento de registros seCDL puede encontrar aquí.
Nota 6: Después de la pérdida de la conexión entre FW y , FW los registros se pondrán en cola y CDLse enviarán una vez que se restaure la conexión.Si la cola está llena antes del establecimiento de la conexión, se perderán algunos registros. Utilice a continuación CLI para comprobar que:

> show counter global filter delta yes | match queue_full

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oND3CAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language