Dynamic Updates Version mismatch-Warnungen für HA Firewall

Dynamic Updates Version mismatch-Warnungen für HA Firewall

47515
Created On 09/25/18 19:48 PM - Last Modified 06/06/23 02:36 AM


Resolution


Übersicht


Selbst wenn beide Knoten in einem HA-paar so konfiguriert sind, dass Sie dynamische Updates (Bedrohungs-oder Antiviren-Updates) gleichzeitig abrufen, generiert die Firewall eine Versions Warnung in den Systemprotokollen. Wenn e-Mail-Benachrichtigungen auf der Firewall konfiguriert sind, erhält der Systemadmin diese Warnungen.


Dieser Artikel konzentriert sich darauf, das Verhalten solcher Warnungen in der Firewall zu erklären.


Details


Auch wenn beide Mitglieder der Firewall den gleichen Update-Zeitplan haben, gäbe es eine kurze Zeitspanne, in der beide Mitglieder eine andere Version dynamischer Updates hätten.


Während dieser Differenz generiert HA-Checks ein System Protokoll, in dem ein Missverhältnis in der dynamischen Updates-Version erwähnt wird.

Vor PAN-OS 7,1 wurden diese Missverhältnis-Alarme mit hoher Härte in Systemprotokollen wie folgt generiert:


2016/08/02 10:18:05 High HA HA Gruppe 2: Bedrohungs Inhalte-Version passt nicht zu
2016/08/02 10:18:05 High HA HA Gruppe 2: Anwendungs-Content-Version passt nicht


Nun, wenn die e-Mail-Benachrichtigungen so konfiguriert sind, dass Sie hohe Warnungen an den Systemadmin senden, erhalten Sie eine Versions Warnung auf den Firewalls. Es ist jedoch möglich, dass es bis zu dem Zeitpunkt, an dem Sie die Firewall überprüfen, keine Versions Missstimmung auf der Firewall gibt.


Der Grund dafür ist, dass, sobald die Version nach dieser kurzen Periode der Differenz auf der Firewall übereinstimmt, die Firewall diese Warnungen mit INFO-Härte wie folgt generiert:


2016/08/03 10:18:27 Info HA HA Gruppe 2: Bedrohungs-Content-Version passt jetzt
2016/08/03 10:18:27 Info ha ha Gruppe 2: Bewerbungs-Content-Version passt jetzt


Da e-Mail-Benachrichtigungen nur für hohe schwere gesetzt wurden, erhält der Systemadmin diese Warnungen nicht.

 

 

Ausgehend von PAN-OS 7,1gibt es eine Verhaltensänderung, wie diese Alarme erzeugt werden.

 

Das erste Mal, dass der HA-Check ein Missverhältnis in der dynamischen Update-Version auf beiden Firewalls erkennt, werden diese Alarme mit "informativer" schwere erzeugt:

 

Informationen. Png

 

 

Wenn dieses Missverhältnis länger als eine Stunde anhält, wird der HA-Check Warnungen mit "hoher" schwere erzeugen:

 

 

Hohe. Png

 

 

Wenn also e-Mail-Benachrichtigungen so konfiguriert sind, dass Sie "hohe" schwere Warnungen senden, bekommt der Systemadministrator nur dann Alarm, wenn es ein echtes Missverhältnis gibt und nicht, wenn es nur für kurze Zeit ein Missverhältnis gibt.

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldxCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language