升级后PAN-OS10.1,PA-7000 firewall在中时无法转发系统日志数据包HA被动状态。

升级后PAN-OS10.1,PA-7000 firewall在中时无法转发系统日志数据包HA被动状态。

1343
Created On 09/26/22 05:47 AM - Last Modified 07/26/25 03:59 AM


Symptom


  • 升级后PAN-OS10.0 到 10.1 或更高版本,PA-7000在中时无法转发系统日志数据包HA被动状态。
  • 这仅适用于LPC(日志处理卡)已安装。 LFC (日志转发卡)不受影响。
  • 如果设备处于被动状态,则不会将任何管理平面日志(系统日志、配置日志等)转发到系统日志服务器。
  • 这也会影响其他日志转发协议(SNMP TRAP ,SMTP , ETC。)。

Environment


  • PA-7000 平台与LPC模块。
  • PAN-OS 仅限 10.1 或更高版本。
  • 为管理平面日志配置 Syslog 转发。
  • HA 主动/被动部署。
笔记:HA主动/主动部署不受影响。

Cause


  • 这是由于之间的行为变化PAN-OS10.0 和 10.1。 以。。。开始PAN-OS10.1,PA-7000系列Firewall只使用日志端口和相应的日志卡转发系统和配置日志,而不是从管理端口。 参考:对默认行为的更改PAN-OS10.1
  • HA 主用设备可以从日志卡端口转发syslog数据包,但是HA被动不能,因为数据平面上的日志卡端口在处于被动状态时将不起作用。

Resolution


使用REST API检索系统日志、配置日志等。例如,以 1 分钟的间隔查询最近 1 分钟的日志。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wleECAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language