Después de actualizar a PAN-OS 10.1, PA-7000 firewall no se pueden reenviar paquetes syslog cuando están en HA estado pasivo.
1339
Created On 09/26/22 05:47 AM - Last Modified 07/26/25 03:59 AM
Symptom
- Después de actualizar de 10.0 a 10.1 o posterior, PA-7000 no se pueden reenviar paquetes syslog PAN-OS cuando están en HA estado pasivo.
- Esto sólo se aplica cuando LPC (Tarjeta de procesamiento de registros) está instalado. LFC (Tarjeta de reenvío de registro) no se ve afectada.
- Si el dispositivo está en estado pasivo, no se reenvían registros del plano de administración (registro del sistema, registro de configuración, etc.) a los servidores syslog.
- Esto también afecta a otros protocolos de reenvío de registros (SNMP TRAP, SMTP, etc.).
Environment
- PA-7000 Plataforma con LPC módulo.
- PAN-OS 10.1 o posterior solamente.
- El reenvío de Syslog está configurado para los registros del plano de administración.
- HA Implementación activa/pasiva.
Cause
- Esto se debe a un cambio de comportamiento entre PAN-OS 10.0 y 10.1. A partir de PAN-OS 10.1, la serie Firewall solo utiliza el puerto de registro y la PA-7000 tarjeta de registro correspondiente para reenviar registros del sistema y de configuración, no desde el puerto de administración. Referencia: Cambios en el comportamiento predeterminado en PAN-OS 10.1
- HA El dispositivo activo puede reenviar paquetes syslog desde el puerto de la tarjeta de registro, pero HA Pasivo no puede porque el puerto de la tarjeta de registro en el plano de datos no sería funcional cuando está en estado pasivo.
Resolution
Se utiliza REST API para recuperar registros del sistema, registros de configuración, etc.Por ejemplo, consultar registros para el último minuto con un intervalo de 1 minuto.