목표
방화벽과 CDL(Cortex 데이터 레이크) 간의 연결 실패 문제를 해결합니다.
환경
방화벽
Cortex 데이터 레이크(CDL)
절차
1.일반 상태 확인. 아래 CLI는 라이선스, 고객 정보(테넌트 ID, 수집/쿼리 fqdns) 및 실제 로깅 상태와 관련된 정보 및 잠재적 문제를 보여줍니다.
a. 로깅 서비스 설정의 경우 Cortex 데이터 레이크 포워딩 전용 사용을 활성화합니다:
> request logging-service-forwarding status
b.로깅 서비스 설정의 경우 중복 로깅 사용(클라우드 및 온프레미스)을 사용합니다.
> debug log-receiver log-forwarding-connections status
2.라이선스가 유효한지를 확인하기 위해 단계 1에서의 CLI 출력 또는 다음의 방법을 사용할 수 있습니다.
> request license info
3.인증서 상태가 성공인지 확인하려면 단계 1의 CLI 출력 또는 다음 방법을 사용할 수 있습니다.
a.10.0 버전 또는 그 이전 버전의 방화벽을 실행하는 경우
> request logging-service-forwarding certificate info
b.10.1 버전 이상의 방화벽을 실행하는 경우
> show device-certificate info > show device-certificate status
4.고객 정보가 ((예: 지역, API FQDN) 올바르고 누락되지 않았는지 확인하려면 1단계의 CLI 출력이나 다음을 사용할 수 있습니다.
> request logging-service-forwarding customerinfo show
5. 로그 서비스 상태가 활성화되어 있고 연결되어 있는지 확인하고, 연결되지 않은 경우 로깅 상태에서 표시되는 개별 확인 사항(DNS, 등록, SSL, TCP)을 살펴봅니다. 이를 위해 1단계의 CLI 출력 또는 아래의 방법을 사용할 수 있습니다.
a.로깅 서비스 설정 Cortex 데이터 레이크 포워딩 전용의 경우
> show logging-status
Cortex 데이터 레이크의 경우, 에이전트는 > 로그 수집 서비스
'로그 수집 로그 전달 에이전트'가 활성화되어 있고 <IP_주소>에 연결되어 있습니다.
b.로깅 서비스 설정 중복 로깅 사용(클라우드 및 온프레미스) 의 경우.
> debug log-receiver rawlog_fwd_trial stats global show > debug log-receiver rawlog_fwd_trial connmgr
6.연결 문제의 경우 방화벽에서 로깅 서비스에 필요한 포트가 허용되는지 확인합니다. Cortex 데이터 레이크에 필요한 TCP 포트 및 FQDN을 확인합니다.
7.SSL 핸드셰이크 문제의 경우, CDL에 연결하는 데 사용되는 관리 인터페이스 또는 DP 인터페이스에서 패킷 캡처를 수집하여 SSL 핸드셰이크가 완료되었는지 확인하세요.
라이선싱이 유효한 경우 출력
> request logging-service-forwarding status Logging Service Licensed: Yes Logging Service forwarding enabled: Yes Duplicate logging enabled: No Enhanced application logging enabled: No
인증서 상태가 유효한 경우 출력 10.0 및 이전 버전:
Logging Service Certificate information: Info: Successfully fetched Logging Service certificate Not Valid after: 2022-05-03 15:23:49 Not Valid before: 2022-02-02 15:23:49 Status: success Last fetched: 2022/02/08 15:44:43
인증서 상태가 유효할 때 출력 10.1 및 이후 버전:
Device Certificate information:
Current device certificate status: Valid
Not valid before: 2022/09/12 04:19:11 PDT
Not valid after: 2022/12/11 03:19:11 PST
Last fetched timestamp: 2022/09/12 04:29:12 PDT
Last fetched status: success
Last fetched info: Successfully fetched Device Certificate
고객 정보가 올바르고 지역(region), API, FQDN 등과 같은 필드가 누락되지 않은 경우 출력 결과.
Logging Service Customer file information: Customer ID: 123456789 EAL Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.fei-lc-prod-eu.gpcloudservice.com Ingest FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com Info: Successfully fetched Logging Service customer info Query FQDN: 9bf092b2-861f-4268-ad29-0e7d52930f9e.api2-lc-prod-eu.gpcloudservice.com:444 Status: success Last Fetched: 2022/02/08 15:01:08
로그 서비스와의 작동하는 연결의 출력 결과.
>Log Collection Service 'Log Collection log forwarding agent' is active and connected to 192.1.1.1 ================================================ connid: 192.1.1.1 ================================================ DNS : Successfully resolved FQDN (9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com), IP (192.1.1.1) success 2022/02/08 15:44:43 Registration : registration request sent success 2022/02/08 15:44:45 SSL : ssl channel established to (192.1.1.1) success 2022/02/08 15:44:45 Status : Connection successful success 2022/02/08 15:44:45 TCP : tcp connection established success 2022/02/08 15:44:43 Connect-Agent-Status : connect succeeded for FQDN 9bf092b2-861f-4268-ad29-0e7d52930f9e.in2-lc-prod-eu.gpcloudservice.com (IP: 192.1.1.1) success
추가 정보:
참고 1:
문서에서는 방화벽이 Cortex Data Lake에 성공적으로 연결될 수 있도록 paloalto-logging-service 및 paloalto-shared-services 애플리케이션 ID에 대한 트래픽을 허용하는 것만 요구하지만 다음과 같은 추가적인 요소가 필요합니다:
참고 2:
방화벽과 CDL 간의 연결성을 문제 해결하는 방법에 대한 자세한 정보는 "Troubleshooting Firewall Connectivity"를 참조하십시오.
참고 3:
만약 Palo Alto Networks 방화벽이 VM-series인 경우...
> request logging-service-forwarding status Logging Service Licensed: No
참고 4:
7k LFC 카드가 있는 경우 10.1로 업그레이드한 후 중복 로깅을 활성화하기 전에 장치 인증서의 설치가 완료되었는지 확인하십시오.
참고 5:
CDL 라이선스 만료가 FW 로그 전송 및 CDL 내 로그 저장에 미치는 영향은 여기에서 확인할 수 있습니다.
참고 6:
FW와 CDL 사이의 연결이 끊어진 후 FW 로그는 대기열에 저장되며 연결이 복구되면 전송됩니다. 연결 설정 전에 대기열이 가득 차면 일부 로그가 손실될 수 있습니다. 아래 CLI를 사용하여 확인할 수 있습니다:
> show counter global filter delta yes | match queue_full
