목적 이 문서는 Cortex 데이터 레이크용 로그 포워딩 API 사용에 대한 레퍼런스를 제공합니다. 환경 Cortex 데이터 레이크 절차 로그 포워딩 API를 사용하려면 2022년 3월 현재 신규 관리형 보안 서비스 공급자(MSSP) 고객이어야 하며, Prisma Access의 신규 배포를 위해 멀티테넌트 계층 구조를 구성해야 합니다. 테넌트를 구성한 후에는 이러한 API를 사용하여 syslog, HTTPS 및 이메일 로그 전달 프로필을 추가, 수정 및 삭제할 수 있습니다. 그러나 이러한 API에 의해 노출되는 기능은 Cortex Data Lake 사용자 인터페이스를 사용하여 수행할 수도 있다는 점을 고려하세요. 추가 정보 로그 포워딩 API 사용 방법에 대한 자세한 내용은 아래 문서에서 확인할 수 있습니다: https://pan.dev/cdl/docs/log-forwarding/

목표 방화벽과 CDL(Cortex 데이터 레이크) 간의 연결 실패 문제를 해결합니다.     환경 방화벽 Cortex 데이터 레이크(CDL)   절차 1.일반 상태 확인. 아래 CLI는 라이선스, 고객 정보(테넌트 ID, 수집/쿼리 fqdns) 및 실제 로깅 상태와 관련된 정보 및 잠재적 문제를 보여줍니다. a. 로깅 서비스 설정의 경우 Cortex 데이터 레이크 포워딩 전용 사용을 활성화합니다: > request logging-service-forwarding status b.로깅 서비스 설정의 경우 중복 로깅 사용(클라우드 및 온프레미스)을 사용합니다. > debug log-receiver log-forwarding-connections status   2.라이선스가 유효한지를 확인하기 위해 단계 1에서의 CLI 출력 또는 다음의 방법을 사용할 수 있습니다. > request license info   3.인증서 상태가 성공인지 확인하려면 단계 1의 CLI 출력 또는 다음 방법을 사용할 수 있습니다. a.10.0 버전 또는 그 이전 버전의 방화벽을 실행하는 경우 > request logging-service-forwarding certificate info b.10.1 버전 이상의 방화벽을 실행하는 경우 > show device-certificate info > show device-certificate status   4.고객 정보가 ((예: 지역, API FQDN) 올바르고 누락되지 않았는지 확인하려면 1단계의 CLI 출력이나 다음을 사용할 수 있습니다. > request logging-service-forwarding customerinfo show   5. 로그 서비스 상태가 활성화되어 있고 연결되어 있는지 확인하고, 연결되지 않은 경우 로깅 상태에서 표시되는 개별 확인 사항(DNS, 등록, SSL, TCP)을 살펴봅니다. 이를 위해 1단계의 CLI 출력 또는 아래의 방법을 사용할 수 있습니다. a.로깅 서비스 설정 Cortex 데이터 레이크 포워딩 전용의 경우 > show logging-status  Cortex 데이터 레이크의 경우, 에이전트는 > 로그 수집 서비스 '로그 수집 로그 전달 에이전트'가 활성화되어 있고 <IP_주소>에 연결되어 있습니다. b.로깅 서비스 설정 중복 로깅 사용(클라우드 및 온프레미스) 의 경우. > debug log-receiver rawlog_fwd_trial stats global show > debug log-receiver rawlog_fwd_trial connmgr   6.연결 문제의 경우 방화벽에서 로깅 서비스에 필요한 포트가 허용되는지 확인합니다. Cortex 데이터 레이크에 필요한 TCP 포트 및 FQDN을 확인합니다.   7.SSL 핸드셰이크 문제의 경우, CDL에 연결하는 데 사용되는 관리 인터페이스 또는 DP 인터페이스에서 패킷 캡처를 수집하여 SSL 핸드셰이크가 완료되었는지 확인하세요. 라이선싱이 유효한 경우 출력 > request logging-service-forwarding status  Logging Service Licensed: Yes Logging Service forwarding enabled: Yes Duplicate logging enabled: No Enhanced application logging enabled: No  인증서 상태가 유효한 경우 출력 10.0 및 이전 버전: Logging Service Certificate information:          Info: Successfully fetched Logging Service certificate         Not Valid after: 2022-05-03 15:23:49         Not Valid before: 2022-02-02 15:23:49         Status: success         Last fetched: 2022/02/08 15:44:43  인증서 상태가 유효할 때 출력 10.1 및 이후 버전： Device Certificate information: Current device certificate status: Valid Not valid before: 2022/09/12 04:19:11 PDT Not valid after: 2022/12/11 03:19:11 PST Last fetched timestamp: 2022/09/12 04:29:12 PDT Last fetched status: success Last fetched info: Successfully fetched Device Certificate  고객 정보가 올바르고 지역(region), API, FQDN 등과 같은 필드가 누락되지 않은 경우 출력 결과.   Logging Service Customer file information:          Customer ID: 123456789         EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com         Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com         Info: Successfully fetched Logging Service customer info         Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444         Status: success         Last Fetched: 2022/02/08 15:01:08  로그 서비스와의 작동하는 연결의 출력 결과. >Log Collection Service  'Log Collection log forwarding agent' is active and connected to 192.1.1.1   ================================================ connid: 192.1.1.1 ================================================   DNS :     Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1)                            success                2022/02/08 15:44:43   Registration :          registration request sent                            success                2022/02/08 15:44:45   SSL :     ssl channel established to (192.1.1.1)                            success                2022/02/08 15:44:45   Status :              Connection successful                            success                2022/02/08 15:44:45   TCP :         tcp connection established                            success                2022/02/08 15:44:43   Connect-Agent-Status :     connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1)                            success   추가 정보: 참고 1: 문서에서는 방화벽이 Cortex Data Lake에 성공적으로 연결될 수 있도록 paloalto-logging-service 및 paloalto-shared-services 애플리케이션 ID에 대한 트래픽을 허용하는 것만 요구하지만 다음과 같은 추가적인 요소가 필요합니다: web-browsing SSL OCSP  참고 2: 방화벽과 CDL 간의 연결성을 문제 해결하는 방법에 대한 자세한 정보는 "Troubleshooting Firewall Connectivity"를 참조하십시오. 참고 3: 만약 Palo Alto Networks 방화벽이 VM-series인 경우... > request logging-service-forwarding status Logging Service Licensed: No 참고 4: 7k LFC 카드가 있는 경우 10.1로 업그레이드한 후 중복 로깅을 활성화하기 전에 장치 인증서의 설치가 완료되었는지 확인하십시오. 참고 5: CDL 라이선스 만료가 FW 로그 전송 및 CDL 내 로그 저장에 미치는 영향은 여기에서 확인할 수 있습니다. 참고 6: FW와 CDL 사이의 연결이 끊어진 후 FW 로그는 대기열에 저장되며 연결이 복구되면 전송됩니다. 연결 설정 전에 대기열이 가득 차면 일부 로그가 손실될 수 있습니다. 아래 CLI를 사용하여 확인할 수 있습니다: > show counter global filter delta yes | match queue_full