방화벽과 CDL 간의 연결 실패 문제를 해결하는 방법

yyu — Mon, 17 Jul 2023 07:16:35 GMT

목표
방화벽과 CDL(Cortex 데이터 레이크) 간의 연결 실패 문제를 해결합니다.

환경
방화벽
Cortex 데이터 레이크(CDL)

절차
1.일반 상태 확인. 아래 CLI는 라이선스, 고객 정보(테넌트 ID, 수집/쿼리 fqdns) 및 실제 로깅 상태와 관련된 정보 및 잠재적 문제를 보여줍니다.

a. 로깅 서비스 설정의 경우 Cortex 데이터 레이크 포워딩 전용 사용을 활성화합니다:

> request logging-service-forwarding status

b.로깅 서비스 설정의 경우 중복 로깅 사용(클라우드 및 온프레미스)을 사용합니다.

> debug log-receiver log-forwarding-connections status

2.라이선스가 유효한지를 확인하기 위해 단계 1에서의 CLI 출력 또는 다음의 방법을 사용할 수 있습니다.

> request license info

3.인증서 상태가 성공인지 확인하려면 단계 1의 CLI 출력 또는 다음 방법을 사용할 수 있습니다.

a.10.0 버전 또는 그 이전 버전의 방화벽을 실행하는 경우

> request logging-service-forwarding certificate info

b.10.1 버전 이상의 방화벽을 실행하는 경우

> show device-certificate info
> show device-certificate status

4.고객 정보가 ((예: 지역, API FQDN) 올바르고 누락되지 않았는지 확인하려면 1단계의 CLI 출력이나 다음을 사용할 수 있습니다.

> request logging-service-forwarding customerinfo show

5. 로그 서비스 상태가 활성화되어 있고 연결되어 있는지 확인하고, 연결되지 않은 경우 로깅 상태에서 표시되는 개별 확인 사항(DNS, 등록, SSL, TCP)을 살펴봅니다. 이를 위해 1단계의 CLI 출력 또는 아래의 방법을 사용할 수 있습니다.

a.로깅 서비스 설정 Cortex 데이터 레이크 포워딩 전용의 경우

> show logging-status

Cortex 데이터 레이크의 경우, 에이전트는 > 로그 수집 서비스
'로그 수집 로그 전달 에이전트'가 활성화되어 있고 <IP_주소>에 연결되어 있습니다.

b.로깅 서비스 설정 중복 로깅 사용(클라우드 및 온프레미스) 의 경우.

> debug log-receiver rawlog_fwd_trial stats global show
> debug log-receiver rawlog_fwd_trial connmgr

6.연결 문제의 경우 방화벽에서 로깅 서비스에 필요한 포트가 허용되는지 확인합니다. Cortex 데이터 레이크에 필요한 TCP 포트 및 FQDN을 확인합니다.

7.SSL 핸드셰이크 문제의 경우, CDL에 연결하는 데 사용되는 관리 인터페이스 또는 DP 인터페이스에서 패킷 캡처를 수집하여 SSL 핸드셰이크가 완료되었는지 확인하세요.

라이선싱이 유효한 경우 출력

> request logging-service-forwarding status 
Logging Service Licensed: Yes

Logging Service forwarding enabled: Yes

Duplicate logging enabled: No

Enhanced application logging enabled: No

인증서 상태가 유효한 경우 출력 10.0 및 이전 버전:

Logging Service Certificate information: 

        Info: Successfully fetched Logging Service certificate

        Not Valid after: 2022-05-03 15:23:49

        Not Valid before: 2022-02-02 15:23:49

        Status: success

        Last fetched: 2022/02/08 15:44:43

인증서 상태가 유효할 때 출력 10.1 및 이후 버전：

Device Certificate information:
        Current device certificate status: Valid
        Not valid before: 2022/09/12 04:19:11 PDT
        Not valid after: 2022/12/11 03:19:11 PST
        Last fetched timestamp: 2022/09/12 04:29:12 PDT
        Last fetched status: success
        Last fetched info: Successfully fetched Device Certificate

고객 정보가 올바르고 지역(region), API, FQDN 등과 같은 필드가 누락되지 않은 경우 출력 결과.

Logging Service Customer file information: 

        Customer ID: 123456789

        EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com

        Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com

        Info: Successfully fetched Logging Service customer info

        Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444

        Status: success

        Last Fetched: 2022/02/08 15:01:08

로그 서비스와의 작동하는 연결의 출력 결과.

>Log Collection Service 

'Log Collection log forwarding agent' is active and connected to 192.1.1.1

 
================================================

connid: 192.1.1.1

================================================

 
DNS :

    Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)

                           success

               2022/02/08 15:44:43

 
Registration :

         registration request sent

                           success

               2022/02/08 15:44:45

 
SSL :

    ssl channel established to (192.1.1.1)

                           success

               2022/02/08 15:44:45

 
Status :

             Connection successful

                           success

               2022/02/08 15:44:45

 
TCP :

        tcp connection established

                           success

               2022/02/08 15:44:43

 
Connect-Agent-Status :

    connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)

                           success

추가 정보:

참고 1:

문서에서는 방화벽이 Cortex Data Lake에 성공적으로 연결될 수 있도록 paloalto-logging-service 및 paloalto-shared-services 애플리케이션 ID에 대한 트래픽을 허용하는 것만 요구하지만 다음과 같은 추가적인 요소가 필요합니다:

web-browsing
SSL
OCSP

참고 2:

방화벽과 CDL 간의 연결성을 문제 해결하는 방법에 대한 자세한 정보는 "Troubleshooting Firewall Connectivity"를 참조하십시오.

참고 3:

만약 Palo Alto Networks 방화벽이 VM-series인 경우...

> request logging-service-forwarding status
Logging Service Licensed: No

참고 4:

7k LFC 카드가 있는 경우 10.1로 업그레이드한 후 중복 로깅을 활성화하기 전에 장치 인증서의 설치가 완료되었는지 확인하십시오.

참고 5:

CDL 라이선스 만료가 FW 로그 전송 및 CDL 내 로그 저장에 미치는 영향은 여기에서 확인할 수 있습니다.

참고 6:

FW와 CDL 사이의 연결이 끊어진 후 FW 로그는 대기열에 저장되며 연결이 복구되면 전송됩니다. 연결 설정 전에 대기열이 가득 차면 일부 로그가 손실될 수 있습니다. 아래 CLI를 사용하여 확인할 수 있습니다:

> show counter global filter delta yes | match queue_full

article 방화벽과 CDL 간의 연결 실패 문제를 해결하는 방법 in 구성 및 구현

방화벽과 CDL 간의 연결 실패 문제를 해결하는 방법