UDP Syslog 転送が機能しない

• ファイアウォールは、 UDP経由で構成されたsyslogサーバと通信していません。
• packet capture ( パケット キャプチャ - pcap)/tcpdump ではトラフィックは確認されませんでした。
• 「外部転送統計」で「debug log-receiver statistics」コマンドを実行すると、Syslog のカウントが 0 になります。

FW> debug log-receiver statistics
Logging statistics
------------------------------ -----------
Log incoming rate:             64/sec
Log written rate:              58/sec
Corrupted packets:             0
Corrupted URL packets:         0
Corrupted HTTP HDR packets:    0
Corrupted HTTP HDR Insert packets: 0
...
Netflow incoming count:        0
Log Forward count:             0
Log Forward discarded (queue full) count: 0
Log Forward discarded (send error) count: 0
Total logs not written due to disk unavailability: 0
----------------------------------------

External Forwarding stats:
      Type  Enqueue Count     Send Count     Drop Count    Queue Depth     Send Rate(last 1min)
    syslog              0              0              0              0                        0
      snmp              0              0              0              0                        0
     email              0              0              0              0                        0
       raw              0              0              0              0                        0
      http              0              0              0              0                        0
   autotag              0              0              0              0                        0
quarantine              0              0              0              0                        0

• 以下のエラーはlogrcvr.logに記録されます。

var/log/pan/logrcvr.log.old
2024-04-23 05:44:49.559 -0700 Error:  pan_log_query_parse_nolock(pan_log_query.c:13191): query: (All LogsFW)
2024-04-23 05:44:49.559 -0700 Error:  _query_grp_mgr_add_lq_query_str(pan_query_grp.c:490): Error parsing query:(All LogsFW) in grp_mgr:query-fsm-grp-mgr-0
2024-04-23 05:44:49.559 -0700 Error:  pan_query_grp_mgr_add_query_str(pan_query_grp.c:599): Error adding lq query to query_grp_mgr:query-fsm-grp-mgr-0
2024-04-23 05:44:49.559 -0700 Error:  pan_init_fsm_2(pan_log_handler.c:9499): Failed to add filter (All LogsFW) to query_grp_mgr
2024-04-23 05:44:49.560 -0700 Error:  _logrcvr_fsm_init(pan_log_receiver.c:21758): FSM init failed. Log forwarding will not work
2024-04-23 05:44:49.560 -0700 after init FSM in _logrcvr_fsm_init(): fsm: (nil), grp_mgr: (nil), match_arr: (nil)
2024-04-23 05:44:49.560 -0700 Error:  pan_log_config_phase1(pan_log_receiver.c:15326): could not initialize FSM, log forwarding will not work!

• 複数のSyslogサーバープロファイルが設定されている

• 「FW-DMZ-SYSLOG」プロファイルは、関係するsyslogサーバにログを転送ために使用されます。
• プロファイル「FW-DMZ-SYSLOG」に関連するログ設定とフィルターは正しいのですが、ログ転送がまだ機能しません。

<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-syslog><member>: FW-DMZ-SYSLOG
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><log-type>: traffic
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><filter>: All Logs
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-to-panorama>: no
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><quarantine>: no

• パノス
• ログ転送
• シスログ

• すべてのログ転送はFSM (有限状態マシン) を通過し、転送を実行するかどうかが決定されます。FSM は、ログ転送設定で定義されたすべてのフィルターを評価します。
• いずれかのフィルターが無効な場合、FSM は初期化されず、ログ転送は実行されません。
• 実行構成に、ログ転送の無効な構成が含まれています。 「FW-SYSLOG」のフィルターが正しくありません。「All LogsFW」ではなく「All Logs」にする必要があります。

<shared><log-settings><system><match-list><entry name="FW-SYSLOG"><send-syslog><member>: FW-SYSLOG
<shared><log-settings><system><match-list><entry name="FW-SYSLOG"><filter>: All LogsFW
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><send-syslog><member>: FW-DMZ-SYSLOG
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><filter>: All Logs

1. フィルター タイプを編集するには、[ログ設定] -> [システム] に移動し、[名前] をクリックします。新しいウィンドウが開きます。
2. 「ログ設定 - システム」ウィンドウで「フィルター」に移動し、「すべてのログ」を選択します。