設定和導入

環境 Panorama 日誌服務器(Log-collector) 所有PAN-OS   步驟 1.確認防火牆有正確設定將最新的日誌轉發到日誌服務器上。 show logging-status Log Collector : <log-collector-serial-number> Connection IP : <log-collector-ip> Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated traffic 2019/04/11 11:42:41 2019/04/11 11:42:42 6609236175355591718 6609236175355518694 50331542011 threat 2019/04/11 11:42:33 2019/04/11 11:42:34 6609236125161751868 6609236125161751455 349295414 在日誌服務器上確認它已經收到日誌。 > show logging-status device <firewall-serial-number> 2. 確保日誌服務器有今天的es-indices，而且正在增加。並確認在Panorama上也能看到。 dmin@Logger> show log-collector-es-indices | match 20190410 green open pan_20190410_trsum_<log-collector-serial-number> 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_<log-collector-serial-number> 8 0 803025297 0 297gb 297gb admin@PANORAMA> show log-collector-es-indices log-collector-grp-name <log-collector-group-name> | match 20190410 green open pan_20190410_trsum_<log-collector-serial-number> 4 0 104857195 0 28.9gb 28.9gb green open pan_20190410_all_<log-collector-serial-number> 8 0 803025297 0 297gb 297gb 3. 檢查panorama和日誌服務器的網路傳輸狀態。檢查日誌服務器與panorama之間的連線已建立。而在panorama上亦顯示日誌服務器連線也已建立。 admin@Logger> show netstat all yes numeric yes | match <panorama-ip> tcp 0 0 <log-collector-ip>:42795 <panorama-ip>:3978 ESTABLISHED admin@PANORAMA(primary-active)> show netstat all yes numeric yes | match <log-collector-ip> tcp 0 0 <panorama-ip>:3978 <log-collector-ip>:42795 ESTABLISHED 4. 此時，當日誌從防火牆發送到日誌服務器，並且日誌服務器已對其做正確的索引工作，您需要確保日誌服務器上可以看到panorama發給日誌服務器的查詢，並且正確執行。 可以執行下面的指令來找出panorama無法從日誌服務器獲取日誌的原因。 (注意：執行前請先確認Panorama系統資源使用狀況，並與服務商技術人員確認) > debug management-server tracing set marker test level high type query > debug management-server on debug > debug reportd on debug   在此之後，我们可以在日誌服務器中檢查eportd的日誌，找到在panorama上運行的查詢和向日誌服務器發出的請求及日誌服務器的回應記錄。   2019-04-11 13:26:48.192 +0530 tracing：test_6399 pan_handle_logger_dlcq_init(pan_cfg_logmgr_task.c:12436)。Q: INIT. remote_job_id 6399, query_id 12794, rectype traffic, direction 1, num_recs_buffered 1100, num_segments 512, query '(((receive_time leq now)) and (device-group eq 'FW-DG')), query_len 65 結束後，請記得停止tracing, debug程序。   您可以從 panorama和日誌服務器中收集技術支援檔案（Tech Support File），並提供給相對應的案件支援窗口（TAC Support），以便進一步調查。