Panoramaアプライアンスでログ コレクタのシステム ログが出力されない問題(PAN-OS 6.0.X以降)

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Viewing the Log Collector system log in the Panorama appliance (PAN-OS 6.0.x or later)

https://live.paloaltonetworks.com/t5/Management-Articles/Viewing-the-Log-Collector-system-log-in-the...

 

 

問題

Panorama アプライアンスとログ コレクタをPAN-OSを6.0.x以降にアップグレードすると、Panoramaに送られているはずのログ コレクタのシステム ログを確認することができません。 

 

"request log-fwd-ctrl action start-from-lastack device"コマンドを実行しても本事象は解決しません。

この問題は、ローカル ログ コレクタの設定がPAN-OSのアップグレード前に削除されていた場合に発生します。

 

 

原因
PAN-OS 6.0.x以降にアップグレードする際、M-100(Panorama)はsdb変数がないことにより初期化に失敗します。

この変数はコレクタ グループ コミットにより、コレクタ グループに設定をプッシュする際にセットされます。

しかし、ローカル ログ コレクタを含むログ コレクタ グループが存在しないと、コレクタ グループ コミットを行うことができません。この問題はPAN-OS5.1から6.0でのデザイン変更によって生じています。


解決策

Panorama自身をローカル ログ コレクタとして設定し、そのログ コレクタを含むコレクタ グループを作成します。

Panoramaにてコミットを行うと設定がコレクタ グループにプッシュされます。

それからコレクタ グループとローカル ログ コレクタを削除して コミットします。

sdb変数は一旦セットされれば、その後にローカル ログ コレクタを削除しても、恒久的に維持されます。

 

 

復旧手順


Panorama自身を管理対象コレクタ(ローカル ログ コレクタ)として登録

 

  1. M-100 PanoramaのGUIにログインし、[Panorama]タブ > [管理対象コレクタ]メニューを選択
  2. [追加]をクリックし、[コレクタ]ダイアログの[コレクタシリアル番号]の欄に、Primary Panoramaのシリアル番号を入力し、[OK]をクリック
    →登録したPrimary Panoramaのシリアル番号が画面に表示されることを確認
  3. [追加]をクリックし、[コレクタ]ダイアログの[コレクタシリアル番号]の欄に、Secondary Panorama のシリアル番号を入力し、[OK]をクリック

    →登録したSecondary Panoramaのシリアル番号が画面に表示されることを確認
  4. [コミット]をクリックし、[コミット]ダイアログのコミットタイプ「Panorama」ラジオボタンを選択し、[OK]をクリック
    →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認
  5. 手順1で追加したコレクタのコレクタ名をクリックし、[コレクタ]ダイアログにて[Disks]タブをクリック
  6. ダイアログ下部の[追加]をクリックし、[ディスク ペアの有効化]ディスクペアを追加します。A,B,C,D全てを登録し、[OK]をクリック
  7. 手順3で追加したコレクタのコレクタ名をクリックし、[コレクタ]ダイアログにて[Disks]タブをクリック
  8. ダイアログ下部の[追加]をクリックし、[ディスク ペアの有効化]ディスクペアを追加します。A,B,C,D全てを登録し、[OK]をクリック
  9. [コミット]をクリックし、[コミット]ダイアログのコミットタイプ「Panorama」ラジオボタンを選択し、[OK]をクリック
    →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認します。

 

登録されたM-100 Panorama (ローカル ログ コレクタ)をコレクタ グループに追加

 

  1. [Panorama]タブ > [コレクタ グループ]メニューをクリック
  2. [追加]をクリックし、[コレクタ グループ]ダイアログの[全般]タブにて[名前]欄に任意の名前(例:Panorama_LLC_1)を入力
  3. [ログ転送]タブを選択し、[コレクタ グループのメンバー]欄下部[追加]を選択し、Primary PanoramaとSecondary のPanorama(例:Panorama_LLC_1)を選択して、[コレクタ グループのメンバー]欄に追加。[OK]をクリック
  4. [コミット]をクリックし、[コミット]ダイアログのコミットタイプ「Panorama」ラジオボタンを選択し、[OK]をクリック

    →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認します。

  5. 再度[コミット]をクリックし、[コミット]ダイアログのコミットタイプ「コレクタ グループ」ラジオボタンを選択
  6. 全コレクタ グループ名横のチェックボックスにチェックを入れて[OK]をクリック
    →最終コミット状態:「commit succeeded」と表示されることを確認
     

ログ転送の復旧確認

  1. [Monitor] > [ログ] > [システム]を選択
    [デバイスのシリアル番号]欄に登録済みログコレクタのシリアル番号が表示されていることを確認します
  2. Primary PanoramaにCLIでログインし、 "> show logging-status S/N of the Log Collector>"コマンドを実行します。

    →以下の出力例のように、ログを受信した日付が更新されることを確認

 

> show logging-status device [S/N of the Log Collector]

Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated
config N/A N/A N/A
system 2016/05/13 17:32:00 2301 2016/05/13 17:32:00
threat
N/A N/A N/A
traffic 2016/05/13 17:53:25 2301 2016/05/13 17:52:13
hipmatch N/A N/A N/A