Mises à jour dynamiques à la demande avec un seuil défini, mais sont jamais ou rarement téléchargement, ou télécharger et installer

44065

Created On 09/25/18 19:38 PM - Last Modified 04/20/20 23:38 PM

Resolution

Scénario

Mises à jour dynamiques sont définies pour télécharger, ou à télécharger et à installer sur un calendrier.

Le pare-feu peut atteindre le serveur de mise à jour, et manuel met à jour travail normalement.

Il y a un seuil défini.

Exemple

Nous allons utiliser un calendrier pour les mises à jour antivirus pour cet exemple. Ici, nous arrive d’avoir configuré le « seuil » à 48 heures.

Screen Shot 2015-03-11 à 3.10.07 PM.png

... Notez que sous la valeur seuil, nous sommes laissé entendre «le contenu doit être au moins ce nombre d'heures vieux pour toute action à prendre»

Nous voyons que les mises à jour antivirus sont libérées en fait tous les jours :

Screen Shot 2015-03-11 à 3.11.30 PM.png

L’erreur suivante est observée sur la ms.log de fichier journal :

admin@Pan > grep contexte après 1 avant-contexte 11 modèle « seuil = » mp-log ms.log

--2015-03-05 01:00:01-- https://updates.paloaltonetworks.com/updates/UpdateService2.asmx/CheckForVirusUpdate

Résolution de updates.paloaltonetworks.com... 199.167.52.13

Connexion à updates.paloaltonetworks.com|199.167.52.13|:443... connecté.

Requête HTTP envoyée, en attente de réponse... 200 OK

Longueur : 4432 (4.3K) [texte/xml]

Enregistrement sur : ' / tmp/.avinfo.xml.10073.tmp'

0K 100 % 11.2M = 0

2015-03-05 01:00:02 (11,2 Mo/s) - ' / tmp/.avinfo.xml.10073.tmp' sauvé [4432/4432]

2015-03-05 01:00:02.886-0500 contenu temps inférieur au seuil 2015/03/04 04:00:02 seuil = 48 diff = 18

2015-03-05 01:00:02.886 -0500 aucun nouveau Antivirus mises à jour disponibles en téléchargement

Description du comportement

La valeur des heures au titre de « Seuil » est un paramètre qui vérifie la « maturité » de la * dernière * livrable. Notez qu' il ne vérifie pas la liste pour trouver le «prochain au-dessus» qui est au moins' 48 'heures plus vieux (de sorte que vous puissiez sauter des mises à jour). La façon dont l’exemple ci-dessus est mis en place (48 heures), empêcherait donc * toute * mise à jour du déploiement.

La raison en est que la fréquence des rejets antivirus est quotidienne (toutes les 24 heures), donc, la maturité (seuil) devrait être fixé à quelque chose de moins de 24 heures.

Recommandation

Observer la fréquence des rejets de votre mise à jour dynamique et définir un calendrier. Si la valeur du seuil est plus grande que la fréquence de sortie, mises à jour dynamiques ne seront jamais déployée.

Remarque: changement de comportement

Le comportement de la fonction'Threshold'a changé depuis Pan-OS 8.0.5 avec l'ID de problème PAN-80465.

Avec ce correctif, Pan-OS vérifie les cinq dernières versions de version de contenu, au lieu de simplement la version la plus récente, et exécute l'action pour la dernière version qui correspond au seuil que vous avez spécifié. Par exemple, si la version 701 de Content Update est disponible pendant 24 heures et que la version 700 est disponible pour 72 heures et que vous définissez le seuil à 48 heures pour les mises à jour de contenu des applications et des menaces, Pan-OS exécute l'action pour la version 700. Pan-OS vérifie également les cinq dernières versions de version de contenu pour les mises à jour antivirus.

propriétaire : mivaldi