間の接続障害のトラブルシューティング方法firewallとCDL。 - Knowledge Base - Palo Alto Networks

間の接続障害のトラブルシューティング方法firewallとCDL。

60214

Created On 02/16/22 23:17 PM - Last Modified 11/26/24 21:10 PM

Objective

間の接続障害のトラブルシューティングを行います。firewallとCortexデータレイク (CDL ）。

Environment

Firewall
Cortex データレイク (CDL )

Procedure

一般的なステータスのチェック。 CLI 以下に、ライセンス、顧客情報 (テナント) に関連する情報と潜在的な問題を示します。ID 、fqdns の取り込み/クエリ）と実際のログステータス。
1. ロギングサービス設定用有効Cortexデータレイク転送のみに使用します:
```
> request logging-service-forwarding status
```
2. ロギングサービス設定用重複ログを有効にする (クラウドおよびオンプレミス)使用：
```
> debug log-receiver log-forwarding-connections status
```
の出力からライセンスが有効であることを確認します。CLIステップ 1 または以下から:
```
> request license info
```
チェックCortexデータレイクライセンス。
証明書のステータスが成功であることを確認します。証明書のエラーを探して、OCSPからCLIステップ 1 の出力または以下からの出力:
1. ためにfirewall10.0 以前を実行している
```
> request logging-service-forwarding certificate info
```
2. ためにfirewall10.1以降を実行している
```
> show device-certificate info
> show device-certificate status
```

必要に応じてチェックしてくださいの証明書取得失敗のトラブルシューティング方法Cortexデータレイク (CDL ）。

顧客情報が正しく、欠落していないかを確認してください (地域、API FQDN)からCLI1 または次からの出力:
```
> request logging-service-forwarding customerinfo show
```
ログのステータスがアクティブで接続されていることを確認します。接続されていない場合は、ログステータスに表示される個々のチェックを確認してください (DNS 、登録、SSL 、TCP ）からCLIステップ 1 の出力または以下からの出力:
1. ロギングサービス設定用有効Cortexデータレイク転送のみに使用します:
```
> show logging-status
```
  のためにCortexData Lake、エージェントは > ログ収集サービスです
  「ログ収集ログ転送エージェント」はアクティブで、<IP_address> に接続されています。
2. ロギングサービス設定用重複ログを有効にする (クラウドおよびオンプレミス)使用：
```
> debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr
```
接続の問題については、必要なポートが次の場所から許可されていることを確認してください。firewallロギングサービスに。チェックTCP必要なポートと FQDNCortexデータレイク。
ためにSSLハンドシェイクの問題がある場合は、管理インターフェイスまたはDP接続に使用されているインターフェイスCDLかどうかを確認してください。SSL握手は完了しています。

ライセンスが有効な場合に出力されます

> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

証明書ステータスが有効な場合に出力されます 10.0 以前

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

証明書ステータスが有効な場合に出力されます 10.1 以降

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

顧客情報が正しい場合に出力されます。地域などのフィールドが欠落していてはなりません。 API、FQDN

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

への動作中の接続の出力logging service。

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

Additional Information

注1:ドキュメントでは paloalto-logging-service と paloalto-shared-service のみが必要ですapp-id を確保するためにトラフィックを許可する必要があります。firewallに正常に接続できますCortexデータレイクですが、次のものも必要になります。

ウェブ閲覧
SSL
OCSP

注2:トラブルシューティング方法の詳細については、firewallとの接続性CDL参照するトラブルシューティングFirewall接続性
注3 : パロアルトネットワークの場合FirewallですVM-シリーズと

> request logging-service-forwarding status
Logging Service Licensed: No

チェック取得方法CortexデータレイクライセンスPA-VM。
注4: 7kの場合LFCカードを 10.1 にアップグレードした後は、重複ログを有効にする前にデバイス証明書のインストールが完了していることを確認してください。
注5:期限切れの影響CDLライセンスオンFWログの転送先CDLそしてストレージにログインしますCDL見つけることができますここ。
注6:間の接続が失われた後、FWとCDL、FWログはキューに入れられ、接続が復元されると送信されます。接続が確立される前にキューがいっぱいになると、一部のログが失われます。以下を使用してくださいCLIそれを確認するには:

> show counter global filter delta yes | match queue_full

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)