UDP Syslog 전달이 작동하지 않습니다
3821
Created On 07/16/24 18:25 PM - Last Modified 01/30/25 22:26 PM
Symptom
- 방화벽 UDP 통해 구성된 syslog 서버 와 통신하지 않습니다.
- 패킷 캡처/tcpdump에서 트래픽이 확인되지 않았습니다.
- "외부 전달 통계"에서 "디버그 로그-수신기 통계" 명령을 실행할 때 Syslog에 대한 카운트가 0입니다.
FW> debug log-receiver statistics
Logging statistics
------------------------------ -----------
Log incoming rate: 64/sec
Log written rate: 58/sec
Corrupted packets: 0
Corrupted URL packets: 0
Corrupted HTTP HDR packets: 0
Corrupted HTTP HDR Insert packets: 0
...
Netflow incoming count: 0
Log Forward count: 0
Log Forward discarded (queue full) count: 0
Log Forward discarded (send error) count: 0
Total logs not written due to disk unavailability: 0
----------------------------------------
External Forwarding stats:
Type Enqueue Count Send Count Drop Count Queue Depth Send Rate(last 1min)
syslog 0 0 0 0 0
snmp 0 0 0 0 0
email 0 0 0 0 0
raw 0 0 0 0 0
http 0 0 0 0 0
autotag 0 0 0 0 0
quarantine 0 0 0 0 0
- 아래 오류 메시지는 logrcvr.log에 기록되어 있습니다.
var/log/pan/logrcvr.log.old 2024-04-23 05:44:49.559 -0700 Error: pan_log_query_parse_nolock(pan_log_query.c:13191): query: (All LogsFW) 2024-04-23 05:44:49.559 -0700 Error: _query_grp_mgr_add_lq_query_str(pan_query_grp.c:490): Error parsing query:(All LogsFW) in grp_mgr:query-fsm-grp-mgr-0 2024-04-23 05:44:49.559 -0700 Error: pan_query_grp_mgr_add_query_str(pan_query_grp.c:599): Error adding lq query to query_grp_mgr:query-fsm-grp-mgr-0 2024-04-23 05:44:49.559 -0700 Error: pan_init_fsm_2(pan_log_handler.c:9499): Failed to add filter (All LogsFW) to query_grp_mgr 2024-04-23 05:44:49.560 -0700 Error: _logrcvr_fsm_init(pan_log_receiver.c:21758): FSM init failed. Log forwarding will not work 2024-04-23 05:44:49.560 -0700 after init FSM in _logrcvr_fsm_init(): fsm: (nil), grp_mgr: (nil), match_arr: (nil) 2024-04-23 05:44:49.560 -0700 Error: pan_log_config_phase1(pan_log_receiver.c:15326): could not initialize FSM, log forwarding will not work!
- 여러 Syslog 서버 프로필이 구성되었습니다.
- "FW-DMZ-SYSLOG" 프로파일 해당 syslog 서버 로 로그를 포워드 데 사용됩니다.
- "FW-DMZ-SYSLOG" 프로파일 과 관련된 로그 설정 및 필터가 올바르더라도 로그 포워딩 여전히 작동하지 않습니다.
<shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-syslog><member>: FW-DMZ-SYSLOG <shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><log-type>: traffic <shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><filter>: All Logs <shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><send-to-panorama>: no <shared><log-settings><profiles><entry name="LogForward"><match-list><entry name="LogForward-traffic"><quarantine>: no
Environment
- 파노스
- 로그 전달
- 시스템로그
Cause
- 모든 로그 포워딩 FSM(유한 상태 머신)을 거쳐 전달을 해야 할지 여부를 결정합니다. FSM은 로그 포워드 설정에 정의된 모든 필터를 평가합니다.
- 필터 중 하나라도 유효하지 않으면 FSM이 초기화되지 않으므로 로그 포워딩 수행되지 않습니다.
- running-config에 로그 포워딩 대한 잘못된 구성이 포함되어 있습니다. "FW-SYSLOG"에 대한 필터가 잘못되었습니다. "All LogsFW"가 아니라 "All Logs"여야 합니다.
<shared><log-settings><system><match-list><entry name="FW-SYSLOG"><send-syslog><member>: FW-SYSLOG
<shared><log-settings><system><match-list><entry name="FW-SYSLOG"><filter>: All LogsFW
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><send-syslog><member>: FW-DMZ-SYSLOG
<shared><log-settings><system><match-list><entry name="SYSTEM-SYSLOG"><filter>: All Logs
Resolution
- 필터 유형을 편집하려면 "로그 설정" -> "시스템"으로 이동한 다음 "이름"을 클릭합니다. 그러면 새 창이 열립니다.
- "로그 설정 - 시스템" 창에서 "필터"로 이동하여 "모든 로그"를 선택합니다.