Запись заполнила диск узла управления. Это заставит узлы брандмауэра начать локальное ведение журнала. После удаления некоторых старых журналов перезапуск журнала узла управления все еще выполняется локально на узлах межсетевого экрана. Я уже сделал fw fetchlogs на всех узлах брандмауэра, чтобы получить записи локального журнала.
Как я могу сказать узлам межсетевого экрана, что они должны снова подключиться к узлу управления?
Мое шоу syslog_servers не показывает никаких серверов syslog. Но в документации упоминается, что это для дополнительного ведения журнала, а не для ведения журнала между узлами межсетевого экрана и узлом управления.
Вы можете попробовать fw logswitch
на самом брандмауэре.
Если это не поможет, возможно, потребуется перезагрузка, как было предложено ранее.
Обычный R70? У нас была проблема, при которой станция управления не получала входящие журналы после перезагрузки. Служба поддержки Check Point сообщила, что это известная проблема с R70. (Извините, я не могу найти для вас номер SK). Обновление до R70.30 на станции управления устранило проблему.
Я уверен, что в базе знаний Check Point есть этот ответ, хотя хоть убей, я не могу вспомнить, что делать. Две общие вещи, которые стоит попробовать:
Отправить политику в брандмауэр
cpstop ; cpstart
на брандмауэре
Перезагрузите брандмауэр (Windows и Check Point FW-1, обе любят перезагрузки)
.