La transmission UDP Syslog ne fonctionne pas

La transmission UDP Syslog ne fonctionne pas

3837
Created On 07/16/24 18:25 PM - Last Modified 01/30/25 22:26 PM


Symptom


  • Le pare-feu ne communique pas avec le serveur syslog configuré via UDP.
  • Aucun trafic n'a été observé dans la packet capture (capture de paquet - pcap)/tcpdump.
  • Lors de l'exécution de la commande « debug log-receiver statistics » sous « External Forwarding stats », il y a un compte de 0 pour Syslog.
FW> debug log-receiver statistics
Logging statistics
------------------------------ -----------
Log incoming rate:             64/sec
Log written rate:              58/sec
Corrupted packets:             0
Corrupted URL packets:         0
Corrupted HTTP HDR packets:    0
Corrupted HTTP HDR Insert packets: 0
...
Netflow incoming count:        0
Log Forward count:             0
Log Forward discarded (queue full) count: 0
Log Forward discarded (send error) count: 0
Total logs not written due to disk unavailability: 0
----------------------------------------

External Forwarding stats:
      Type  Enqueue Count     Send Count     Drop Count    Queue Depth     Send Rate(last 1min)
    syslog              0              0              0              0                        0
      snmp              0              0              0              0                        0
     email              0              0              0              0                        0
       raw              0              0              0              0                        0
      http              0              0              0              0                        0
   autotag              0              0              0              0                        0
quarantine              0              0              0              0                        0
  • Ci-dessous, les messages d'erreur sont remarqués dans logrcvr.log
var/log/pan/logrcvr.log.old
2024-04-23 05:44:49.559 -0700 Error:  pan_log_query_parse_nolock(pan_log_query.c:13191): query: (All LogsFW)
2024-04-23 05:44:49.559 -0700 Error:  _query_grp_mgr_add_lq_query_str(pan_query_grp.c:490): Error parsing query:(All LogsFW) in grp_mgr:query-fsm-grp-mgr-0
2024-04-23 05:44:49.559 -0700 Error:  pan_query_grp_mgr_add_query_str(pan_query_grp.c:599): Error adding lq query to query_grp_mgr:query-fsm-grp-mgr-0
2024-04-23 05:44:49.559 -0700 Error:  pan_init_fsm_2(pan_log_handler.c:9499): Failed to add filter (All LogsFW) to query_grp_mgr
2024-04-23 05:44:49.560 -0700 Error:  _logrcvr_fsm_init(pan_log_receiver.c:21758): FSM init failed. Log forwarding will not work
2024-04-23 05:44:49.560 -0700 after init FSM in _logrcvr_fsm_init(): fsm: (nil), grp_mgr: (nil), match_arr: (nil)
2024-04-23 05:44:49.560 -0700 Error:  pan_log_config_phase1(pan_log_receiver.c:15326): could not initialize FSM, log forwarding will not work!
  • Plusieurs profils de serveur Syslog sont configurés
syslog.png
  • Le profil « FW-DMZ-SYSLOG » est utilisé pour transférer les journaux vers le serveur syslog concerné.
  • Même si les paramètres du journal et le filtre concernés par le profil « FW-DMZ-SYSLOG » sont corrects, la transfert des journaux ne fonctionne toujours pas.
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-syslog><member>: FW-DMZ-SYSLOG
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><log-type>: traffic
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><filter>: All Logs
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-to-panorama>: no
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><quarantine>: no


    Environment


    • PANOS
    • Transfert de journaux
    • Journal système

    Cause


    • Tous les transfert des journaux passent par la FSM (machine à état finis) pour déterminer si le transfert doit être effectué ou non. La FSM évalue tous les filtres définis dans les paramètres de transférer de journaux.
    • Si l'un des filtres n'est pas valide, le FSM n'est pas initialisé et aucune transfert des journaux ne sera donc effectuée.
    • La configuration en cours contient une configuration non valide pour le transfert des journaux. Le filtre pour « FW-SYSLOG » est incorrect. Il devrait s'agir de « Tous les journaux » et non de « Tous les journauxFW ».
    <shared><log-settings><system><match-list><entry name="FW-SYSLOG"><send-syslog><member>: FW-SYSLOG
<shared><log-settings><system><match-list><entry name="FW-SYSLOG"><filter>: All LogsFW
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><send-syslog><member>: FW-DMZ-SYSLOG
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><filter>: All Logs


    Resolution


    1. Pour modifier le type de filtre, allez dans « Paramètres du journal » -> « Système » -> cliquez sur « nom ». Cela ouvrira une nouvelle fenêtre.
    2. Dans la fenêtre « Paramètres du journal - Système », accédez à « Filtres » et sélectionnez « TOUS les journaux »
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scX6CAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language