PAN OS 11.1 を実行しているログコレクターは、エラー「master_not_discovered_exception」によりクラスターに参加できませんでした。

11324

Created On 05/29/24 21:51 PM - Last Modified 01/07/25 10:51 AM

Symptom

ログコレクターは起動しており、Panorama に接続されていますが、 Panorama > 管理対象コレクター > ヘルスステータスの ESステータスに赤い円が表示され、「実行されていません」と表示されます。

When running ログコレクター ES クラスタのヘルスを表示します command, it takes a while to return an output or eventually returning error as follow,

{
   "error" : {
       "root_cause" : [
           {
              "type" : "master_not_discovered_exception",
              "reason" : null
           }
       ],
       "type" : "master_not_discovered_exception",
       "reason" : null
   },
   "status" : 503
}

When checking es_restart.log (mp-log es_restart.log が少なくなる), マスターが発見されなかった例外 error is seen, for example,

ERROR Unable to load template /opt/pancfg/mgmt/saved-configs/elasticsearch/templates/system_<serial_number>. {"error":{"root_cause":[{"type":"master_not_discovered_exception","reason":null}],"type":"master_not_discovered_exception","reason":null},"status":503}

Netstat output (netstat 数値を表示はいプログラムはい | 9300にマッチ command output) on log collector shows SYN_SENT towards other log collector(s) in the same cluster.

> show netstat numeric yes programs yes | match 9300
tcp6       0      1 <local_LC_IP>:44095     <remote_LC_IP>:9300      SYN_SENT    43158/java          
tcp6       0      1 <local_LC_IP>:46397     <remote_LC_IP>:9300      SYN_SENT    41947/java          
tcp6       0      1 <local_LC_IP>:42961     <remote_LC_IP>:9300      SYN_SENT    42785/java

Environment

混合モードまたはロガーモードでのパノラマ
2ノード以上のコレクターグループ
PAN OS 11.1以降

Cause

LC 間通信用のTCPポート 9300 - 9302 は、ログコレクター間の中間デバイスによってブロックされています。

Resolution

すべての中間デバイスで LC (ログコレクター) 間の通信にTCPポート 9300 - 9302を許可
PAN OS 11.1 以降、LC 間通信ではTCPポート 28 経由のSSHトンネルが使用されなくなりました。

Additional Information

Panorama で使用されるポート