Cómo solucionar un error de conexión entre el y CDL.firewall
Objective
Solucionar un error de conexión entre Data firewall Lake (CortexCDL).
Environment
- Firewall
- Cortex Lago de datos (CDL)
Procedure
- Comprobación del estado general. CLI A continuación se mostrará información y posibles problemas relacionados con las licencias, la información del cliente (inquilino ID, FQDN de ingesta/consulta) y el estado de registro real.
- Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
> request logging-service-forwarding status
- Para la configuración del servicio de registro, habilite el registro duplicado (en la nube y en las instalaciones), use:
> debug log-receiver log-forwarding-connections status
- Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
- Confirme que la licencia es válida desde la salida del en el CLI paso 1 o desde:
> request license info
Compruebe Cortex la licencia de Data Lake. - Confirme que el estado del certificado es correcto. Busque errores con los certificados y OCSP desde CLI la salida en el paso 1 o desde:
- Para firewall ejecutar 10.0 o versiones anteriores
> request logging-service-forwarding certificate info
- Para firewall ejecutar 10.1 o posterior
> show device-certificate info > show device-certificate status
- Para firewall ejecutar 10.0 o versiones anteriores
- Compruebe que la información del cliente es correcta y no falta (por ejemplo, región, API FQDN) de la salida en 1 o de CLI :
> request logging-service-forwarding customerinfo show
- Compruebe que el estado del registro esté activo y conectado. Si no está conectado, mire las comprobaciones individuales que se muestran en el estado de registro (DNS, Registro, SSL, TCP) desde CLI la salida en el paso 1 o desde:
- Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
> show logging-status
Para el lago de datos, el Cortex agente está > servicio
de recopilación de registros 'Agente de reenvío de registros de recopilación de registros' está activo y conectado a <IP_address>. - Para la configuración del servicio de registro, habilite el registro duplicado (en la nube y en las instalaciones), use:
> debug log-receiver rawlog_fwd_trial stats global show > debug log-receiver rawlog_fwd_trial connmgr
- Para la configuración del servicio de registro Habilitar Cortex solo el reenvío de Data Lake, use:
- Para problemas de conectividad, compruebe que los puertos necesarios están permitidos desde los servicios de firewall registro. TCP Compruebe los puertos y FQDN necesarios para Cortex Data Lake.
- Para SSL problemas de protocolo de enlace, recopile una captura de paquetes en la interfaz de administración o en la DP interfaz que se está utilizando para conectarse CDL y compruebe si el SSL protocolo de enlace se está completando.
> request logging-service-forwarding status Logging Service Licensed: Yes Logging Service forwarding enabled: Yes Duplicate logging enabled: No Enhanced application logging enabled: No
Salida cuando el estado del certificado es válido 10.0 y versiones anteriores
Logging Service Certificate information: Info: Successfully fetched Logging Service certificate Not Valid after: 2022-05-03 15:23:49 Not Valid before: 2022-02-02 15:23:49 Status: success Last fetched: 2022/02/08 15:44:43
Salida cuando el estado del certificado es válido 10.1 y versiones posteriores
Device Certificate information: Current device certificate status: Valid Not valid before: 2022/09/12 04:19:11 PDT Not valid after: 2022/12/11 03:19:11 PST Last fetched timestamp: 2022/09/12 04:29:12 PDT Last fetched status: success Last fetched info: Successfully fetched Device Certificate
Salida cuando la información del cliente es correcta. No deben faltar campos como la región. API, FQDN
Logging Service Customer file information: Customer ID: 123456789 EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com Info: Successfully fetched Logging Service customer info Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444 Status: success Last Fetched: 2022/02/08 15:01:08
Salida para una conexión de trabajo al logging servicearchivo .
>Log Collection Service 'Log Collection log forwarding agent' is active and connected to 192.1.1.1 ================================================ connid: 192.1.1.1 ================================================ DNS : Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1) success 2022/02/08 15:44:43 Registration : registration request sent success 2022/02/08 15:44:45 SSL : ssl channel established to (192.1.1.1) success 2022/02/08 15:44:45 Status : Connection successful success 2022/02/08 15:44:45 TCP : tcp connection established success 2022/02/08 15:44:43 Connect-Agent-Status : connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1) success
Additional Information
Nota 1: La documentación solo solicita paloalto-logging-service y paloalto-shared-services app-id a los que debe permitir el tráfico para asegurarse de firewall que el puede conectarse correctamente a Cortex Data Lake, pero también necesitará:
- navegación por la web
- SSL
- OCSP
Nota 2: Para obtener más información sobre cómo solucionar firewall problemas de conectividad con CDL , consulte Solución de problemas Firewall de conectividad
Nota 3: Si Palo Alto Networks Firewall es una VM-serie y
> request logging-service-forwarding status Logging Service Licensed: No
consulte Cómo obtener la licencia de Cortex Data Lake para PA-VM.
Nota 4: Para 7k con LFC tarjeta después de la actualización a 10.1, asegúrese de que la instalación del certificado del dispositivo se realice antes de habilitar el registro duplicado.
Nota 5: El impacto de la licencia caducada CDL en el CDL reenvío de registros y el FW almacenamiento de registros seCDL puede encontrar aquí.
Nota 6: Después de la pérdida de la conexión entre FW y , FW los registros se pondrán en cola y CDLse enviarán una vez que se restaure la conexión.Si la cola está llena antes del establecimiento de la conexión, se perderán algunos registros. Utilice a continuación CLI para comprobar que:
> show counter global filter delta yes | match queue_full