ressources indisponibles dans les journaux de trafic après l'activation de l'analyse cloud en ligne anti-spyware.

• Les journaux de trafic indiquent la raison de la fin de la session « ressources indisponibles » .
• Les journaux de menaces pour le même trafic montrent une chute de logiciels espions.
• Le site n'est pas accessible et après quelques secondes, il l'est.

• PAN-OS : 10.2.0 ou version ultérieure
• abonnement Prévention des menaces
• Objets > Profils de sécurité > Profil anti-spyware > Analyse en ligne du cloud
  • « Activer l'analyse en ligne du cloud » : coché
• Appareil > Configuration > Content-ID > Paramètres d'analyse cloud en ligne de Threat Prevention :
  • « Autoriser sur la latence maximale » : Non vérifié
  • « Trafic du journal non analysé » : coché

• La session est rejetée lorsque nous n'avons pas reçu le verdict du cloud dans le seuil « Latence maximale (ms) ».
• La raison de la fin de session est enregistrée avec « ressources non disponibles » plutôt que « menace ». Cela permet de la différencier du chemin d'élimination des verdicts malveillants habituel.
• Le journal des menace est généré lorsque l'option « Journal du trafic non analysé » est cochée. Le journal est généré non pas parce que le verdict est malveillant, mais parce que la latence annule la session.

• pan_packet_diag.log : (avec les fonctionnalités de débogage activées)

2024-03-08 04:34:31.553 -0800 debug: pan_ctd_process_ctdf_wif_pkt_mlc2_verdict(pan_ctd_wif_ace_mlc2.c:768): receive c2 verdict, but no wqe is available <<<<<< the cause of resources-unavailable
2024-03-08 04:34:31.553 -0800 debug: pan_ctd_wif_update_latency_counters(pan_ctd_feature_fwd.c:280): For Service 2 latency 410 current time 331350 start time 330940 <<<<<< 410 ms to get verdict while config was set to 400ms.