Palo Alto Networks ファイアウォールが Panorama (VM および M-100) へログを転送しない

Printer Friendly Page
※この記事は以下の記事の日本語訳です。

Palo Alto Networks Firewall not Forwarding Logs to Panorama (VM and M-100)
https://live.paloaltonetworks.com/t5/Configuration-Articles/Palo-Alto-Networks-Firewall-not-Forwardi...

 

事象

Palo Alto Networks M-100 デバイスまたは仮想アプライアンスとして導入されている Panorama が Palo Alto Networks ファイアウォールからログを受信しなくなる。トラフィック ログや脅威ログは、ファイアウォール上で直接確認すると見ることができるが、Panorama 上では見ることができない。

 

詳細

Palo Alto Networks ファイアウォールは Panorama に転送されたログをシーケンス番号を使用して記録します。ログが受信されると、Panorama はシーケンス番号を認識します。ファイアウォールが異なる Panorama (例えば、Panorama の HA ピア) に接続されると、これらのシーケンス番号は非同期となって、ファイアウォールがログを転送しなくなることがあります。ログのアップロード処理も、Panorama に送信された大量のログによってスタック (停滞) することがあります。

 

解決策

 

Panorama 5.0, 5.1, 6.0, 6.1, 7.0, 7.1

  1. 現在のログ状況を確認します
    > show logging-status device <シリアル番号>
  2. 最後に ACK されたログ ID からのログ転送をローカルディスクへのバッファリング有りで開始します
    > request log-fwd-ctrl device <シリアル番号> action start-from-lastack
  3. ログが転送されているかどうか確認します
    > show logging-status device <シリアル番号>

    ログが転送されていない場合、次のことを行います:
  4. ログ転送が停止していることを確認します
    > request log-fwd-ctrl device <シリアル番号> action stop
  5. バッファリング無しでログ転送を開始します (この状態で約 1 分間放置します)
    > request log-fwd-ctrl device <シリアル番号> action live
  6. ログ転送をバッファリング有りで開始します
    > request log-fwd-ctrl device <シリアル番号> action start

 

重要! シリアル番号内のアルファベット文字はすべて大文字である必要があります。例えば:

> request log-fwd-ctrl device 0000C123456 action live

scheduled a job with jobid 12

 

小文字が使用された場合は、次のエラーメッセージが返されます:

> request log-fwd-ctrl device 0011c123456 action live

Server error : failed to schedule a job to do log fwd ctrl from panorama to device 0000c123456

 

デバイスのポリシーにてログのアクションが Panorama への転送に設定されていることを確認します。

ロギングがスタックする場合は、log-receiver サービスを次のコマンドを使用して再起動します:

> debug software restart log-receiver

もしくは、次のコマンドを使用して Management Server を再起動します (log-receiver サービスも再起動されます):

> debug software restart management-server

 

著者: swhyte