Le service de journalisation Strata a cessé de transférer les journaux au serveur syslog en raison de l'expiration du certificat

Le service de journalisation Strata arrête la transfert des journaux vers syslog_ng . La meilleure façon d'identifier ce type d'erreur est d'enquêter des deux côtés.

Service d'enregistrement de strates :

Exécutez Log Forwarding->Log forwarding Profile->Tester Connection . Si le certificat a expiré, l'erreur suivante s'affiche. Cet exemple montre que le certificat a expiré le 23 septembre 2024

Échec de la négociation TLS avec le serveur

NotAfter : Lun 23 sept 01:31:53 GMT 2024

Syslog_ng :

certificat inconnu

• Infrastructure de service de journalisation Strata composée de Prisma Access ou NGFW
• serveur syslog basé sur Linux appelé syslog_ng

Les étapes suivantes permettent de réduire le problème ainsi que sa résolution.

• Assurez-vous que la connexion TCP est à état ÉTABLI. Exécutez la commande suivante dans la session CLI du serveur syslog

netstat -n | grep ÉTABLI

• Assurez-vous que l'adresse IP de l'infrastructure SLS pour une région spécifique est ouverte dans les pare-feu du réseau. Reportez-vous au document suivant

https://docs.paloaltonetworks.com/strata-logging-service/administration/overview/supported-regions

• Assurez-vous que le certificat est valide dans la session CLI du serveur syslog

openssl s_client -nom_serveur -connecter 2>/dev/ NULL | openssl x509 -noout -dates

• Si le certificat est expiré, remplacez-le par un certificat valide. Si le certificat n'est pas expiré, il est préférable de travailler avec le support technique de Palo Alto
• Une fois le certificat valide, exécutez Test Connection sur Strata Logging Service pour vous assurer que la connexion TLS est stable.