由于证书过期,Strata Logging Service 停止将日志转发到syslog服务器

由于证书过期,Strata Logging Service 停止将日志转发到syslog服务器

5091
Created On 10/03/24 22:15 PM - Last Modified 01/10/25 03:33 AM


Symptom


Strata Logging Service停止将日志转发到syslog_ng 。识别此类错误的最佳方法是从两方面进行调查。

地层测井服务:

运行日志转发->日志转发配置文件->测试连接。如果证书已过期,将显示以下错误。此示例说明证书已于 2024 年 9 月 23 日过期

与服务器的TLS握手失败

NotAfter:2024 年 9 月 23 日星期一 01:31:53 GMT

image.png

Syslog_ng:

证书未知

Environment


典型的基础设施包括
  • 由 Prisma Access 或 NGFW 组成的 Strata 日志记录服务基础设施
  • 基于 Linux 的系统syslog服务器,称为 syslog_ng

Cause


Syslog 服务器端证书过期会导致此类问题

Resolution


以下步骤将缩小问题范围并给出解决方案。

  • 确保TCP连接处于 ESTABLISHED状态。在syslog服务器CLI会话中运行以下命令

netstat -n | grep ESTABLISHED

  • 确保特定区域的 SLS 基础设施 IP 在网络防火墙内打开。请参阅以下文档

https://docs.paloaltonetworks.com/strata-logging-service/administration/overview/supported-regions

  • 确保证书在syslog服务器CLI会话中有效

openssl s_client-服务器名称-连接2>/dev/ NULL | openssl x509 -noout -dates

  • 如果证书已过期,请更换为有效证书。如果证书未过期,最好与 Palo Alto 技术支持合作
  • 证书有效后,在 Strata Logging Service 上运行测试连接,以确保TLS连接稳定。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scrpCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language