Nach dem Upgrade auf PAN-OS 10.1 PA-7000 firewall können Syslog-Pakete nicht weitergeleitet werden, wenn sie sich im HA passiven Zustand befinden.
1339
Created On 09/26/22 05:47 AM - Last Modified 07/26/25 03:59 AM
Symptom
- Nach dem Upgrade von PAN-OS 10.0 auf 10.1 oder höher PA-7000 können Syslog-Pakete im HA passiven Zustand nicht weitergeleitet werden.
- Dies gilt nur, wenn LPC (Log Processing Card) installiert ist. LFC (Log Forwarding Card) ist nicht betroffen.
- Wenn sich das Gerät im passiven Zustand befindet, werden keine Protokolle der Verwaltungsebene (Systemprotokoll, Konfigurationsprotokoll usw.) an Syslog-Server weitergeleitet.
- Dies wirkt sich auch auf andere Protokollweiterleitungsprotokolle aus (SNMP TRAP, SMTP, usw.).
Environment
- PA-7000 Plattform mit LPC Modul.
- PAN-OS Nur 10.1 oder höher.
- Die Syslog-Weiterleitung ist für Protokolle auf Verwaltungsebene konfiguriert.
- HA Aktive/passive Bereitstellung.
Cause
- Dies ist auf eine Verhaltensänderung zwischen PAN-OS 10.0 und 10.1 zurückzuführen. Ab PAN-OS Version 10.1 verwendet die Serie Firewall nur noch den Protokollierungsport und die PA-7000 entsprechende Protokollkarte zum Weiterleiten von System- und Konfigurationsprotokollen, nicht vom Management-Port. Verweisen Sie auf: Änderungen am Standardverhalten in PAN-OS 10.1
- HA Aktives Gerät kann Syslog-Pakete vom Protokollkartenport weiterleiten, passiv HA jedoch nicht, da der Protokollkartenport auf der Datenebene im passiven Zustand nicht funktionsfähig wäre.
Resolution
Verwenden Sie diese Option REST API , um Systemprotokolle, Konfigurationsprotokolle usw. abzurufen.Abfrageprotokolle für die letzten 1 Minute mit einem Intervall von 1 Min.