スパイウェア対策インライン クラウド分析を有効にした後、トラフィック ログにリソースが利用できません。

• トラフィック ログには、セッション終了理由「 resources-unavailable 」が表示されます。
• 同じトラフィックの脅威ログには、スパイウェアのドロップが示されています。
• ウェブサイトにアクセスできませんが、数秒後にはアクセスできるようになります。

• PAN-OS: 10.2.0 以降
• 高度な脅威防御サブスクリプション
• オブジェクト>セキュリティ プロファイル>スパイウェア対策プロファイル>インライン クラウド分析
  • 「クラウドインライン分析を有効にする」: チェック済み
• デバイス>セットアップ>コンテンツ ID >脅威防御インライン クラウド分析設定:
  • 「最大遅延を許可」: 未チェック
  • 「ログトラフィックをスキャンしない」: チェックあり

• 「最大遅延 (ミリ秒)」しきい値内にクラウドの判定を受信できなかった場合、セッションは破棄されます。
• セッション終了理由は、「脅威」ではなく「リソース使用不可」で記録されます。これは、通常の悪意のある判定破棄パスと区別するためです。
• 「スキャンされていないトラフィックをログに記録する」がチェックされている場合、脅威ログが生成されます。ログは、判定が悪意があるからではなく、遅延によってセッションが破棄されるために生成されます。

• pan_packet_diag.log: (デバッグ機能が有効)

2024-03-08 04:34:31.553 -0800 debug: pan_ctd_process_ctdf_wif_pkt_mlc2_verdict(pan_ctd_wif_ace_mlc2.c:768): receive c2 verdict, but no wqe is available <<<<<< the cause of resources-unavailable
2024-03-08 04:34:31.553 -0800 debug: pan_ctd_wif_update_latency_counters(pan_ctd_feature_fwd.c:280): For Service 2 latency 410 current time 331350 start time 330940 <<<<<< 410 ms to get verdict while config was set to 400ms.