間の接続障害のトラブルシューティング方法firewallとCDL。

間の接続障害のトラブルシューティング方法firewallとCDL。

34926
Created On 02/16/22 23:17 PM - Last Modified 10/31/23 02:59 AM


Objective


間の接続障害のトラブルシューティングを行います。firewallとCortexデータレイク (CDL )。

Environment


  • Firewall
  • Cortex データレイク (CDL )

Procedure


  1. 一般的なステータスのチェック。 CLI 以下に、ライセンス、顧客情報 (テナント) に関連する情報と潜在的な問題を示します。ID 、fqdns の取り込み/クエリ)と実際のログ ステータス。
    1. ロギングサービス設定用有効Cortexデータレイク転送のみに使用します:
      > request logging-service-forwarding status
    2. ロギングサービス設定用重複ログを有効にする (クラウドおよびオンプレミス)使用:
      > debug log-receiver log-forwarding-connections status
  2. の出力からライセンスが有効であることを確認します。CLIステップ 1 または以下から:
    > request license info
    チェックCortexデータレイクライセンス
  3. 証明書のステータスが成功であることを確認します。 証明書のエラーを探して、OCSPからCLIステップ 1 の出力または以下からの出力:
    1. ためにfirewall10.0 以前を実行している
      > request logging-service-forwarding certificate info
    2. ためにfirewall10.1以降を実行している
      > show device-certificate info
> show device-certificate status
  1. 顧客情報が正しく、欠落していないかを確認してください (地域、API FQDN)からCLI1 または次からの出力:
    > request logging-service-forwarding customerinfo show
  2. ログのステータスがアクティブで接続されていることを確認します。 接続されていない場合は、ログ ステータスに表示される個々のチェックを確認してください (DNS 、 登録、SSL 、TCP ) からCLIステップ 1 の出力または以下からの出力:
    1. ロギングサービス設定用有効Cortexデータレイク転送のみに使用します:
      > show logging-status
      のためにCortexData Lake、エージェントは > ログ収集サービスです
      「ログ収集ログ転送エージェント」はアクティブで、<IP_address> に接続されています。
    2. ロギングサービス設定用重複ログを有効にする (クラウドおよびオンプレミス)使用:
      > debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr
  3. 接続の問題については、必要なポートが次の場所から許可されていることを確認してください。firewallロギングサービスに。 チェックTCP必要なポートと FQDNCortexデータレイク
  4. ためにSSLハンドシェイクの問題がある場合は、管理インターフェイスまたはDP接続に使用されているインターフェイスCDLかどうかを確認してください。SSL握手は完了しています。
ライセンスが有効な場合に出力されます
> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

証明書ステータスが有効な場合に出力されます 10.0 以前

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

証明書ステータスが有効な場合に出力されます 10.1 以降

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

顧客情報が正しい場合に出力されます。 地域などのフィールドが欠落していてはなりません。 API、FQDN

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

への動作中の接続の出力logging service

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

 


 

Additional Information


注1:ドキュメントでは paloalto-logging-service と paloalto-shared-service のみが必要ですapp-id を確保するためにトラフィックを許可する必要があります。firewallに正常に接続できますCortexデータ レイクですが、次のものも必要になります。

  • ウェブ閲覧
  • SSL
  • OCSP

注2:トラブルシューティング方法の詳細については、firewallとの接続性CDL参照するトラブルシューティングFirewall接続性
注3 : パロアルトネットワークの場合FirewallですVM-シリーズと

> request logging-service-forwarding status
Logging Service Licensed: No

チェック取得方法CortexデータレイクライセンスPA-VM
注4: 7kの場合LFCカードを 10.1 にアップグレードした後は、重複ログを有効にする前にデバイス証明書のインストールが完了していることを確認してください。
注5:期限切れの影響CDLライセンスオンFWログの転送先CDLそしてストレージにログインしますCDL見つけることができますここ
注6:間の接続が失われた後、FWとCDL、FWログはキューに入れられ、接続が復元されると送信されます。接続が確立される前にキューがいっぱいになると、一部のログが失われます。 以下を使用してくださいCLIそれを確認するには:

> show counter global filter delta yes | match queue_full

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oND3CAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language