如何解决之间的连接故障firewall和CDL.
60132
Created On 02/16/22 23:17 PM - Last Modified 11/26/24 21:10 PM
Objective
解决之间的连接故障firewall和Cortex数据湖(CDL ).
Environment
- Firewall
- Cortex 数据湖(CDL )
Procedure
- 一般状态检查。 CLI 下面将显示与许可、客户信息(租户)相关的信息和潜在问题ID, 摄取/查询 fqdns) 和实际日志记录状态。
- 用于日志记录服务设置使能够Cortex数据湖转发仅使用:
> request logging-service-forwarding status
- 用于日志记录服务设置启用重复日志记录(云和本地)使用:
> debug log-receiver log-forwarding-connections status
- 用于日志记录服务设置使能够Cortex数据湖转发仅使用:
- 从输出中确认许可证有效CLI在步骤 1 中或来自:
> request license info
查看Cortex数据湖许可证. - 确认证书状态为成功。 查找证书错误和OCSP从CLI步骤 1 中的输出或来自:
- 为了firewall运行 10.0 或更早版本
> request logging-service-forwarding certificate info
- 为了firewall运行 10.1 或更高版本
> show device-certificate info > show device-certificate status
- 为了firewall运行 10.0 或更早版本
- 检查客户信息是否正确且没有丢失(例如地区,API FQDN)来自CLI输出 1 或来自:
> request logging-service-forwarding customerinfo show
- 检查日志记录状态是活动的和连接的。 如果未连接,请查看日志状态中显示的各个检查(DNS , 登记,SSL ,TCP ) 从CLI步骤 1 中的输出或来自:
- 用于日志记录服务设置使能够Cortex数据湖转发仅使用:
> show logging-status
为了Cortex数据湖,代理是 > 日志收集服务
“日志收集日志转发代理”处于活动状态并连接到 <IP_address>。 - 用于日志记录服务设置启用重复日志记录(云和本地)使用:
> debug log-receiver rawlog_fwd_trial stats global show > debug log-receiver rawlog_fwd_trial connmgr
- 用于日志记录服务设置使能够Cortex数据湖转发仅使用:
- 对于连接问题,请验证是否允许所需的端口来自firewall到日志服务。 查看TCP所需的端口和 FQDNCortex数据湖.
- 为了SSL握手问题,在管理接口或DP用于连接的接口CDL并检查是否SSL握手正在完成。
> request logging-service-forwarding status Logging Service Licensed: Yes Logging Service forwarding enabled: Yes Duplicate logging enabled: No Enhanced application logging enabled: No
证书状态为有效时的输出 10.0 及更早版本
Logging Service Certificate information: Info: Successfully fetched Logging Service certificate Not Valid after: 2022-05-03 15:23:49 Not Valid before: 2022-02-02 15:23:49 Status: success Last fetched: 2022/02/08 15:44:43
证书状态为有效时的输出 10.1 及更高版本
Device Certificate information:
Current device certificate status: Valid
Not valid before: 2022/09/12 04:19:11 PDT
Not valid after: 2022/12/11 03:19:11 PST
Last fetched timestamp: 2022/09/12 04:29:12 PDT
Last fetched status: success
Last fetched info: Successfully fetched Device Certificate
客户信息正确时输出。 它不应缺少区域等字段。 API, FQDN
Logging Service Customer file information: Customer ID: 123456789 EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com Info: Successfully fetched Logging Service customer info Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444 Status: success Last Fetched: 2022/02/08 15:01:08
工作连接的输出logging service.
>Log Collection Service 'Log Collection log forwarding agent' is active and connected to 192.1.1.1 ================================================ connid: 192.1.1.1 ================================================ DNS : Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1) success 2022/02/08 15:44:43 Registration : registration request sent success 2022/02/08 15:44:45 SSL : ssl channel established to (192.1.1.1) success 2022/02/08 15:44:45 Status : Connection successful success 2022/02/08 15:44:45 TCP : tcp connection established success 2022/02/08 15:44:43 Connect-Agent-Status : connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1) success
Additional Information
注一:文档仅调用 paloalto-logging-service 和 paloalto-shared-servicesapp -id 您必须允许流量以确保firewall可以成功连接到Cortex数据湖,但您还需要:
- 网页浏览
- SSL
- OCSP
笔记2:有关如何排除故障的更多信息firewall与CDL参考故障排除Firewall连通性
注3 : 如果帕洛阿尔托网络Firewall是一个VM-系列和
> request logging-service-forwarding status Logging Service Licensed: No
查看如何获取Cortex数据湖许可证PA-VM.
注4:对于7kLFC升级到 10.1 后,请确保在启用重复日志记录之前完成设备证书的安装。
注5:过期的影响CDL许可证FW日志转发到CDL和日志存储在CDL可以被找寻到这里.
注 6:之间的连接丢失后FW和CDL,FW一旦连接恢复,日志将被排队并发送。如果在连接建立之前队列已满,一些日志将丢失。 在下面使用CLI检查:
> show counter global filter delta yes | match queue_full