动态更新 HA 防火墙的版本不匹配警报

概述

即使 HA 对中的节点都配置为获取动态更新 (威胁或防病毒更新), 防火墙也会在系统日志中生成版本不匹配警报。如果防火墙上配置了电子邮件警报, 系统管理员将收到这些警报。

本文着重说明防火墙中此类警报的行为。

详细

即使防火墙的两个成员都有相同的更新日程安排, 但如果两个成员都有不同版本的动态更新, 则会有一段短暂的时间。

在此差异期间, HA 检查生成系统日志, 并提到动态更新版本中的不匹配。

在 PAN OS 7.1 之前, 这些不匹配警报在系统日志中产生了严重的严重性, 如下所示:

2016/08/02 10:18:05 高 ha 组 2: 威胁内容版本不匹配
2016/08/02 10:18:05 高 ha 组 2: 应用程序内容版本不匹配

现在, 如果将电子邮件警报配置为向系统管理员发送高警报, 他们会在防火墙上收到版本不匹配警报。但是, 可能在他们检查防火墙时, 防火墙上没有版本不匹配。

原因是, 一旦版本与防火墙匹配后的那段短暂的差异, 防火墙就会以如下的信息严重性生成这些警报:

2016/08/03 10:18:27 信息 ha 组 2: 威胁内容版本现在匹配
2016/08/03 10:18:27 信息 ha 组 2: 应用程序内容版本现在匹配

因为电子邮件警报设置的严重性很高, 所以系统管理员没有收到这些警报。

从 PAN OS 7.1 开始, 在如何生成这些警报时发生了行为更改.

当 HA 检查在两个防火墙上检测到动态更新版本中的不匹配时, 这些警报将以 "信息性" 严重性生成:

如果此不匹配持续时间超过一小时, HA 检查将生成具有 "高" 严重性的警报:

因此, 如果将电子邮件警报配置为发送 "高" 严重性警报, 则系统管理员只有在存在真正的不匹配时才会发出警报, 而不会在短短的一段时间内出现不匹配的情况。