This website uses Cookies. By clicking Accept, you agree to the storing of cookies on your device to enhance your community and translation experience. Read our Privacy Policy.
Click Preferences to customize your cookie settings.
Accept
Reject
Preferences

如何解决Panorama从防火墙的日志到特定日志收集器的日志不显示的问题

cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Announcements

如何解决Panorama从防火墙的日志到特定日志收集器的日志不显示的问题

xzuo
L2 Linker

‎01-09-2023 11:47 PM - edited ‎01-18-2023 12:41 AM

No ratings

目标

解决Panorama日志查询不显示任何日志或停止显示从防火墙日志到特定日志收集器的日志的问题。

 

环境

  • Panorama
  • 日志收集器(Log-collector)
  • 所有PAN-OS

 

程序

1.确保防火墙正在将日志转发到日志收集器上。

而且最新的日志已经被转发了。

show logging-status
Log Collector : <log-collector-serial-number>
Connection IP : <log-collector-ip>
Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated
traffic 2019/04/11 11:42:41 2019/04/11 11:42:42 6609236175355591718 6609236175355518694 50331542011
threat 2019/04/11 11:42:33 2019/04/11 11:42:34 6609236125161751868 6609236125161751455 349295414

在日志收集器上确认它已经收到日志。

> show logging-status device <firewall-serial-number>

2. 确保日志收集器有今天的es-indices,而且正在增加。并确保在Panorama上也能看到。这证实并说明了日志已经被索引并存储在日志收集器中。

dmin@Logger> show log-collector-es-indices | match 20190410
green open pan_20190410_trsum_<log-collector-serial-number> 4 0 104857195 0 28.9gb 28.9gb
green open pan_20190410_all_<log-collector-serial-number> 8 0 803025297 0 297gb 297gb
admin@PANORAMA> show log-collector-es-indices log-collector-grp-name <log-collector-group-name> | match 20190410
green open pan_20190410_trsum_<log-collector-serial-number> 4 0 104857195 0 28.9gb 28.9gb
green open pan_20190410_all_<log-collector-serial-number> 8 0 803025297 0 297gb 297gb

3. 检查panorama和日志收集器的网络统计输出。检查日志收集器是否显示panorama连接已建立。而panorama显示日志收集器连接已建立。

admin@Logger> show netstat all yes numeric yes | match <panorama-ip>
tcp 0 0 <log-collector-ip>:42795 <panorama-ip>:3978 ESTABLISHED

admin@PANORAMA(primary-active)> show netstat all yes numeric yes | match <log-collector-ip>
tcp 0 0 <panorama-ip>:3978 <log-collector-ip>:42795 ESTABLISHED

4. 在这时候,当日志从防火墙发送到日志收集器,并且日志收集器已对其进行正确索引,我们需要确保在日志收集器上可以看到panorama发送给日志收集器的日志查询,并且被正确处理。我们可以运行下面的调试来找出全panorama无法从日志收集器获取日志的原因。
启用以下调试进行追踪。(注意:管理服务器调试是资源密集型的,在运行它们之前请谨慎行事 或联系工程师)

> debug management-server tracing set marker test level high type query
> debug management-server on debug
> debug reportd on debug

 

在此之后,我们可以在日志收集器中检查reportd的日志,找到在panorama上运行的查询和向日志收集器发出的请求以及日志收集器的响应。

 

2019-04-11 13:26:48.192 +0530 跟踪:test_6399 pan_handle_logger_dlcq_init(pan_cfg_logmgr_task.c:12436)。Q: INIT. remote_job_id 6399, query_id 12794, rectype traffic, direction 1, num_recs_buffered 1100, num_segments 512, query '(((receive_time leq now)) and (device-group eq 'FW-DG')), query_len 65

调试结束后,确保我们清除了管理-服务器和reportd上的跟踪和调试。

 

这些调试为我们提供了在panorama上运行的日志查询的宝贵信息,并帮助我们理解为什么我们没有得到回应。
你可以从panorama和日志收集器中收集技术支持文件,并将其上传到技术案例中,以便进一步调查。

 

 

 

 

 

Rate this article:
0 Likes Likes
  • 1080 Views
  • 0 comments
  • 0 Likes
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last Updated:
‎01-18-2023 12:41 AM
Updated by:
LEGAL NOTICES
RESOURCES
Khoros awards 2022
Copyright 2007 - 2024 - Palo Alto Networks