article 如何解決Panorama從防火牆的日誌到特定日誌服務器的日誌不顯示的問題 in 設定和導入 https://live.paloaltonetworks.com/t5/%E8%A8%AD%E5%AE%9A%E5%92%8C%E5%B0%8E%E5%85%A5/%E5%A6%82%E4%BD%95%E8%A7%A3%E6%B1%BApanorama%E5%BE%9E%E9%98%B2%E7%81%AB%E7%89%86%E7%9A%84%E6%97%A5%E8%AA%8C%E5%88%B0%E7%89%B9%E5%AE%9A%E6%97%A5%E8%AA%8C%E6%9C%8D%E5%8B%99%E5%99%A8%E7%9A%84%E6%97%A5%E8%AA%8C%E4%B8%8D%E9%A1%AF%E7%A4%BA%E7%9A%84%E5%95%8F%E9%A1%8C/ta-p/538046 <H2 id="toc-hId--819658502">環境</H2> <UL> <LI>Panorama</LI> <LI>日誌服務器(Log-collector)</LI> <LI>所有PAN-OS</LI> </UL> <P>&nbsp;</P> <H2 id="toc-hId-923151833">步驟</H2> <P>1.確認防火牆有正確設定將最新的日誌轉發到日誌服務器上。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">show logging-status Log Collector : &lt;log-collector-serial-number&gt; Connection IP : &lt;log-collector-ip&gt; Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated traffic 2019/04/11 11:42:41 2019/04/11 11:42:42 6609236175355591718 6609236175355518694 50331542011 threat 2019/04/11 11:42:33 2019/04/11 11:42:34 6609236125161751868 6609236125161751455 349295414</PRE> <P>在日誌服務器上確認它已經收到日誌。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">&gt;&nbsp;show logging-status device &lt;firewall-serial-number&gt;</PRE> <P>2. 確保日誌服務器有今天的es-indices,而且正在增加。並確認在Panorama上也能看到。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">dmin@Logger&gt; show log-collector-es-indices | match 20190410 green open pan_20190410_trsum_&lt;log-collector-serial-number&gt; 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_&lt;log-collector-serial-number&gt; 8 0 803025297 0 297gb 297gb</PRE> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">admin@PANORAMA&gt; show log-collector-es-indices log-collector-grp-name &lt;log-collector-group-name&gt; | match 20190410 green open pan_20190410_trsum_&lt;log-collector-serial-number&gt; 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_&lt;log-collector-serial-number&gt; 8 0 803025297 0 297gb 297gb</PRE> <P>3. 檢查panorama和日誌服務器的網路傳輸狀態。檢查日誌服務器與panorama之間的連線已建立。而在panorama上亦顯示日誌服務器連線也已建立。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">admin@Logger&gt; show netstat all yes numeric yes | match &lt;panorama-ip&gt; tcp 0 0 &lt;log-collector-ip&gt;:42795 &lt;panorama-ip&gt;:3978 ESTABLISHED admin@PANORAMA(primary-active)&gt; show netstat all yes numeric yes | match &lt;log-collector-ip&gt; tcp 0 0 &lt;panorama-ip&gt;:3978 &lt;log-collector-ip&gt;:42795 ESTABLISHED </PRE> <P>4. 此時,當日誌從防火牆發送到日誌服務器,並且日誌服務器已對其做正確的索引工作,您需要確保日誌服務器上可以看到panorama發給日誌服務器的查詢,並且正確執行。</P> <P>可以執行下面的指令來找出panorama無法從日誌服務器獲取日誌的原因。<BR />(注意:執行前請先確認Panorama系統資源使用狀況,並與服務商技術人員確認)</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">&gt; debug management-server tracing set marker test level high type query &gt; debug management-server on debug &gt; debug reportd on debug</PRE> <P>&nbsp;</P> <P>在此之後,我们可以在日誌服務器中檢查eportd的日誌,找到在panorama上運行的查詢和向日誌服務器發出的請求及日誌服務器的回應記錄。</P> <P>&nbsp;</P> <P>2019-04-11 13:26:48.192 +0530 tracing:test_6399 pan_handle_logger_dlcq_init(pan_cfg_logmgr_task.c:12436)。Q: INIT. remote_job_id 6399, query_id 12794, rectype traffic, direction 1, num_recs_buffered 1100, num_segments 512, query '(((receive_time leq now)) and (device-group eq 'FW-DG')), query_len 65</P> <P>結束後,請記得停止tracing, debug程序。</P> <P>&nbsp;</P> <P>您可以從 panorama和日誌服務器中收集技術支援檔案(Tech Support File),並提供給相對應的案件支援窗口(TAC Support),以便進一步調查。</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> Sat, 08 Apr 2023 14:40:30 GMT blan 2023-04-08T14:40:30Z 如何解決Panorama從防火牆的日誌到特定日誌服務器的日誌不顯示的問題 https://live.paloaltonetworks.com/t5/%E8%A8%AD%E5%AE%9A%E5%92%8C%E5%B0%8E%E5%85%A5/%E5%A6%82%E4%BD%95%E8%A7%A3%E6%B1%BApanorama%E5%BE%9E%E9%98%B2%E7%81%AB%E7%89%86%E7%9A%84%E6%97%A5%E8%AA%8C%E5%88%B0%E7%89%B9%E5%AE%9A%E6%97%A5%E8%AA%8C%E6%9C%8D%E5%8B%99%E5%99%A8%E7%9A%84%E6%97%A5%E8%AA%8C%E4%B8%8D%E9%A1%AF%E7%A4%BA%E7%9A%84%E5%95%8F%E9%A1%8C/ta-p/538046 <H2 id="toc-hId--819658502">環境</H2> <UL> <LI>Panorama</LI> <LI>日誌服務器(Log-collector)</LI> <LI>所有PAN-OS</LI> </UL> <P>&nbsp;</P> <H2 id="toc-hId-923151833">步驟</H2> <P>1.確認防火牆有正確設定將最新的日誌轉發到日誌服務器上。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">show logging-status Log Collector : &lt;log-collector-serial-number&gt; Connection IP : &lt;log-collector-ip&gt; Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated traffic 2019/04/11 11:42:41 2019/04/11 11:42:42 6609236175355591718 6609236175355518694 50331542011 threat 2019/04/11 11:42:33 2019/04/11 11:42:34 6609236125161751868 6609236125161751455 349295414</PRE> <P>在日誌服務器上確認它已經收到日誌。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">&gt;&nbsp;show logging-status device &lt;firewall-serial-number&gt;</PRE> <P>2. 確保日誌服務器有今天的es-indices,而且正在增加。並確認在Panorama上也能看到。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">dmin@Logger&gt; show log-collector-es-indices | match 20190410 green open pan_20190410_trsum_&lt;log-collector-serial-number&gt; 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_&lt;log-collector-serial-number&gt; 8 0 803025297 0 297gb 297gb</PRE> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">admin@PANORAMA&gt; show log-collector-es-indices log-collector-grp-name &lt;log-collector-group-name&gt; | match 20190410 green open pan_20190410_trsum_&lt;log-collector-serial-number&gt; 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_&lt;log-collector-serial-number&gt; 8 0 803025297 0 297gb 297gb</PRE> <P>3. 檢查panorama和日誌服務器的網路傳輸狀態。檢查日誌服務器與panorama之間的連線已建立。而在panorama上亦顯示日誌服務器連線也已建立。</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">admin@Logger&gt; show netstat all yes numeric yes | match &lt;panorama-ip&gt; tcp 0 0 &lt;log-collector-ip&gt;:42795 &lt;panorama-ip&gt;:3978 ESTABLISHED admin@PANORAMA(primary-active)&gt; show netstat all yes numeric yes | match &lt;log-collector-ip&gt; tcp 0 0 &lt;panorama-ip&gt;:3978 &lt;log-collector-ip&gt;:42795 ESTABLISHED </PRE> <P>4. 此時,當日誌從防火牆發送到日誌服務器,並且日誌服務器已對其做正確的索引工作,您需要確保日誌服務器上可以看到panorama發給日誌服務器的查詢,並且正確執行。</P> <P>可以執行下面的指令來找出panorama無法從日誌服務器獲取日誌的原因。<BR />(注意:執行前請先確認Panorama系統資源使用狀況,並與服務商技術人員確認)</P> <PRE class="ckeditor_codeblock" data-aura-rendered-by="5631:0">&gt; debug management-server tracing set marker test level high type query &gt; debug management-server on debug &gt; debug reportd on debug</PRE> <P>&nbsp;</P> <P>在此之後,我们可以在日誌服務器中檢查eportd的日誌,找到在panorama上運行的查詢和向日誌服務器發出的請求及日誌服務器的回應記錄。</P> <P>&nbsp;</P> <P>2019-04-11 13:26:48.192 +0530 tracing:test_6399 pan_handle_logger_dlcq_init(pan_cfg_logmgr_task.c:12436)。Q: INIT. remote_job_id 6399, query_id 12794, rectype traffic, direction 1, num_recs_buffered 1100, num_segments 512, query '(((receive_time leq now)) and (device-group eq 'FW-DG')), query_len 65</P> <P>結束後,請記得停止tracing, debug程序。</P> <P>&nbsp;</P> <P>您可以從 panorama和日誌服務器中收集技術支援檔案(Tech Support File),並提供給相對應的案件支援窗口(TAC Support),以便進一步調查。</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> Sat, 08 Apr 2023 14:40:30 GMT https://live.paloaltonetworks.com/t5/%E8%A8%AD%E5%AE%9A%E5%92%8C%E5%B0%8E%E5%85%A5/%E5%A6%82%E4%BD%95%E8%A7%A3%E6%B1%BApanorama%E5%BE%9E%E9%98%B2%E7%81%AB%E7%89%86%E7%9A%84%E6%97%A5%E8%AA%8C%E5%88%B0%E7%89%B9%E5%AE%9A%E6%97%A5%E8%AA%8C%E6%9C%8D%E5%8B%99%E5%99%A8%E7%9A%84%E6%97%A5%E8%AA%8C%E4%B8%8D%E9%A1%AF%E7%A4%BA%E7%9A%84%E5%95%8F%E9%A1%8C/ta-p/538046 blan 2023-04-08T14:40:30Z