这个步骤对PanOS 8.0.X有效。当duplicate logging没有被启用时,它也对PanOS 8.1.X有效。
验证Cortex Data Lake的功能。
1.运行下面的命令并注意客户ID(Customer ID,后面客户ID也是指这个)(对每个客户都是唯一的)和区域信息(目前可以是欧洲或美洲,基于在Data Lake的初始设置中选择的位置)。
> request logging-service-forwarding customerinfo show
该命令的输出示例:
Ingest endpoint: xxxxxxxx.in3.lcaas-beta.us.paloaltonetworks.com
Query endpoint: xxxxxxxx.api3.lcaas-beta.us.paloaltonetworks.com:444
Customer ID: Customer_Tenant_Id
Region : Selected Region
2.运行下面的命令并检查证书中的CN值。它应该与上一步看到的客户ID相同。序列号应与防火墙的序列号相同。
> request logging-service-forwarding certificate info
输出示例:
....Omitted output....
Validity
Not Before: May 104:48:362018GMT
Not After : Jul 3004:48:362018GMT
Subject: C=US, L=Palo Alto Networks, OU=Cloud/serialNumber=FW_S/N, CN=Customer_Tenant_Id
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048bit)
Modulus:
3.如果你没有看到正确的S/N或客户ID(证书的CN参数),你应该运行下面的命令,然后按照步骤1和2来检查序列号和CN值是否正确。
> request logging-service-forwarding certificate delete
> request logging-service-forwarding certificate fetch
4.你应该检查 "show logging-status "输出,以确定日志转发是否成功。
命令 "show logging-status "的输出示例。(7k和5200系列除外)
• US: 65.154.226.0/24
• EU: 154.59.126.0/24
查找'Log collection log forwarding agent'是激活的,并连接到<IP_address>line。由于选择的地区不同,IP地址会发生变化。你可以从下面的子网看到基于区域的IP地址。
如果你在这个输出中看到日志转发代理处于活动状态但没有连接,你应该重启mgmtsrvr进程以刷新与Cortex Data Lake的连接。在PanOS 8.1.8中,你将不需要重启进程。将会有一个增强功能,无需重启即可刷新连接。
运行命令,重新启动管理服务器。
> debug software restart process management-server
命令 "show logging-status "的输出示例。(7k和5200系列除外)
• US: 65.154.226.0/24
• EU: 154.59.126.0/24
查找找 "PANW_LOG_RECEPTOR_SRV",MS(mgmtserver)和LR(Log receiever)都是激活的,并且连接到<IP_address>line。由于选择的地区不同,IP地址会发生变化。你可以在下面看到基于区域的子网的IP地址。
5200和7K系列有不同的结构,因为有high log rate。日志接收程序负责转发流量、威胁等日志
Mgmtserver负责转发系统和配置日志。
如果你在这个输出中看到MS或LR的连接状态是不活动的,你应该重新启动mgmtsrvr进程和日志接收器,以刷新与Cortex Data Lake的连接。在PanOS 8.1.8中,你将不需要重启进程。将会有一个增强功能,无需重启即可刷新连接。
运行命令来重新启动管理服务器。
debug software restart process management-server
运行命令来重启日志接收器。
debug software restart process log-receiver
验证Cortex Data Lake的功能(PanOS 8.1.X当duplicate logging被启用时)。
1.运行下面的命令并注意客户ID(每个客户都是唯一的)和区域信息(目前它可以是欧洲或美洲,基于在Data Lake的初始设置中选择的位置)
> request logging-service-forwarding customerinfo show
该命令的输出示例:
Ingest endpoint: xxxxxxxx.in3.lcaas-beta.us.paloaltonetworks.com
Query endpoint: xxxxxxxx.api3.lcaas-beta.us.paloaltonetworks.com:444
Customer ID: Customer_Tenant_Id
Region : Selected Region
2.运行下面的命令并检查证书中的CN值。它应该与上一步看到的客户ID相同。序列号应与防火墙的序列号相同。
> request logging-service-forwarding certificate info
输出示例:
....Omitted output....
Validity
Not Before: May 104:48:362018GMT
Not After : Jul 3004:48:362018GMT
Subject: C=US, L=Palo Alto Networks, OU=Cloud/serialNumber=FW_S/N, CN=Customer_Tenant_Id
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048bit)
Modulus:
3.如果你没有看到正确的S/N或客户ID(证书的CN参数),你应该运行下面的命令,然后按照步骤1和2来检查序列号和CN值是否正确。
> request logging-service-forwarding certificate delete
> request logging-service-forwarding certificate fetch
然后按照步骤1和2,检查信息是否匹配。
4.启用duplicate logging后,你会看到以下命令的输出。
> request logging-service-forwarding status
结果是: LCaaS forwarding enabled: No(duplicate logging没有启用,你会看到 “Yes”)
> show system state | match lcaas
结果是: cfg.lcaas-enabled: False(duplicate logging没有启用, 你会看到 “True”)
> show logging-status(duplicate logging启用,你只能看到客户网络中的日志收集器的IP地址。预计不会看到与子网的任何连接 US: 65.154.226.0/24 EU: 154.59.126.0/24)
结果是:Panorama log forwarding agent is active but not connected to Logging Service
5.你可以用下面的命令验证日志是否被转发到Data Lake。
当duplicate logging被启用时,show logging-status将只显示正在被发送到Panorama的日志。
为了验证日志在当前设置中被发送,你需要运行以下命令。
> debug log-receiver rawlog_fwd_trial stats global show(将显示发送到云端的日志统计数据,关注掉线计数器(drop counters)很重要。运行该命令2-3次,检查掉线次数的增加。)
> debug log-receiver rawlog_fwd_dpi stats global show (将显示发送至云端的增强型应用程序日志的统计数据,重要的是关注下降计数器(drop counters)。运行该命令2-3次,检查下降计数器的增加情况)
> debug log-receiver rawlog_fwd_trial evtmgr(将显示与Cortex Data Lake实例的连接)
servers=1 timers=1 proxies=0 msg_class=1 int_timer=13 last_id=1000001
debug counters:
56134 56134 67 0
56142 56142 0 0
0 0 56100 56100
0 0 2 1
0 0
error counters:
56098 0 0 0
0 0
currtime=337001 last_check=337000
Server port=0 fd=-100 ssl=no clients=1 max_pending_msg=250
triallr-74.217.90.122-def 1000001 26 2 0 0
msg total=0 in=0 out=0 outdated=0 leak=0 option_bytes=0 data_bytes=0
6.如果你看到下降计数器(drop counters)的增加,请遵循以下步骤。
(如果不是7k和5200系列)
运行命令,重新启动管理服务器。
> debug software restart process management-server
(7k和5200系列)
运行命令,重新启动管理服务器。
> debug software restart process management-server
运行命令重启log receiver。
> debug software restart process log-receiver
