Comment résoudre un échec de connexion entre le firewall et CDL.

Comment résoudre un échec de connexion entre le firewall et CDL.

34906
Created On 02/16/22 23:17 PM - Last Modified 10/31/23 02:59 AM


Objective


Résoudre les problèmes d’échec de connexion entre le et Cortex le firewall lac de données (CDL).

Environment


  • Firewall
  • Cortex Lac de données (CDL)

Procedure


  1. Vérification de l’état général. CLI Vous trouverez ci-dessous des informations et des problèmes potentiels liés aux licences, aux informations client (client ID, domaines complets d’acquisition/requête) et à l’état réel de la journalisation.
    1. Pour le paramètre de service de journalisation Activer Cortex le transfert Data Lake uniquement, utilisez :
      > request logging-service-forwarding status
    2. Pour le paramètre de service de journalisation Activer la journalisation en double (cloud et sur site), utilisez :
      > debug log-receiver log-forwarding-connections status
  2. Confirmez que la licence est valide à partir de la sortie de l’étape CLI 1 ou à partir de :
    > request license info
    Vérifiez Cortex la licence Data Lake.
  3. Confirmez que l’état du certificat a réussi. Recherchez les erreurs avec les certificats et OCSP à partir de la sortie à l’étape 1 ou à partir de CLI :
    1. Pour firewall exécuter la version 10.0 ou une version antérieure
      > request logging-service-forwarding certificate info
    2. Pour firewall exécuter la version 10.1 ou ultérieure
      > show device-certificate info
> show device-certificate status
  1. Vérifiez que les informations client sont correctes et ne manquent pas (par exemple, région, API noms de domaine complets) dans CLI la sortie en 1 ou à partir de:
    > request logging-service-forwarding customerinfo show
  2. Vérifiez que l’état de journalisation est actif et connecté. S’il n’est pas connecté, examinez les contrôles individuels qui sont affichés dans l’état de journalisation (DNS, Enregistrement, SSL, TCP) à partir de la sortie de l’étape 1 ou à partir de CLI :
    1. Pour le paramètre de service de journalisation Activer Cortex le transfert Data Lake uniquement, utilisez :
      > show logging-status
      Pour le Cortex lac de données, l'agent est > Service
      de collecte de journaux 'Agent de transfert de journaux de collecte de journaux' est actif et connecté à <IP_address>.
    2. Pour le paramètre de service de journalisation Activer la journalisation en double (cloud et sur site), utilisez :
      > debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr
  3. Pour les problèmes de connectivité, vérifiez que les ports requis sont autorisés à partir des services de firewall journalisation. Vérifiez les TCP ports et les noms de domaine complets requis pour Cortex Data Lake.
  4. Pour SSL les problèmes de négociation de liaison, collectez une capture de paquets sur l’interface de gestion ou l’interface DP utilisée pour vous connecter et CDL vérifier si la SSL négociation est terminée.
Sortie lorsque la licence est valide
> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

Sortie lorsque l’état du certificat est valide 10.0 et versions antérieures 

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

Sortie lorsque l’état du certificat est valide 10.1 et versions ultérieures

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

Sortie lorsque les informations client sont correctes. Il ne devrait pas manquer de champs tels que la région. API, noms de domaine complets

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

Sortie pour une connexion fonctionnelle au logging service.

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

 


 

Additional Information


Remarque 1 : La documentation appelle uniquement le paloalto-logging-service et paloalto-shared-services app-id auxquels vous devez autoriser le trafic pour vous assurer que le firewall peut se connecter correctement au Cortex lac de données, mais vous aurez également besoin des éléments suivants :

  • navigation sur le Web
  • SSL
  • OCSP

Remarque 2 : Pour plus d’informations sur la résolution des problèmes firewall de connectivité avec CDL reportez-vous à la section Dépannage de la Firewall connectivité
Remarque 3 : Si Palo Alto Networks Firewall est une VM-série et

> request logging-service-forwarding status
Logging Service Licensed: No

cochez Comment récupérer Cortex une licence Data Lake pour PA-VM.
Remarque 4: Pour 7k avec LFC carte après la mise à niveau vers 10.1, assurez-vous que l’installation du certificat de périphérique est terminée avant d’activer la journalisation en double.
Remarque 5 : L’impact de la licence expirée CDL sur FW la retransmission et le CDL stockage des journaux est CDL disponible ici.
Remarque 6 : Après la perte de la connexion entre FW et , FW les journaux seront mis en file d’attente et CDLenvoyés une fois la connexion rétablie.Si la file d’attente est pleine avant l’établissement de la connexion, certains journaux seront perdus. Utilisez ci-dessous CLI pour vérifier que:

> show counter global filter delta yes | match queue_full

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oND3CAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language