Hohe Speicherauslastung für die Richtlinienkonfiguration und Commit-Fehler mit dem Fehler "Fehler beim Behandeln CONFIG_UPDATE_START"

• Hoher Prozentsatz der Richtlinien-Cache-Nutzung in der Ausgabe der CLI:

> debug dataplane show cfg-memstat statistics
VSYS POLICY CACHE Allocator Usage

POLICY CACHE (ACTIVE)         :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<
:
POLICY CACHE (PASSIVE)       :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<

• Commit-Fehler
• Beispiel für Commit-Fehlermeldungen, die in diesem Fall angezeigt werden:

  "Details:Error: Failed to get vsys config, already allocated (2621440 bytes)
  failed to handle CONFIG_UPDATE_START"

• Jede Plattform, auf der PAN-OS ausgeführt wird, einschließlich VMs, die von Prisma Access verwendet werden.

• Zu viele IP-Adressen/FQDNs/Tags (registrierte IP-Adressen)/DAGs sind als Quell- oder Zieladressen der Richtlinienregeln konfiguriert.
• Zu viele IP-Adressen/FQDNs sind in EDLs konfiguriert, und die EDLs werden als Quell- oder Zieladressen der Richtlinienregeln konfiguriert.
• Es sind zu viele Richtlinienregeln konfiguriert (in den meisten Fällen handelt es sich um Sicherheitsrichtlinienregeln).

1. Reduzieren Sie die Anzahl der IP-Adressen/FQDNs/Tags (registrierte IP-Adressen)/DAGs, die als Quell- oder Zieladresse von Richtlinienregeln konfiguriert sind.
2. Reduzieren Sie die Anzahl der IP-Adressen/FQDNs, die in EDLs konfiguriert sind, die als Quell- oder Zieladresse von Richtlinienregeln konfiguriert sind.
3. Reduzieren Sie die Anzahl der konfigurierten Richtlinienregeln.
4. Erwägen Sie bei einer Firewall mit mehreren virtuellen Systemen (Multi-VSYs), die Anzahl der VSYS zu reduzieren, indem Sie alle nicht verwendeten VSYS löschen.
5. Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlung nicht in der Lage sind, die Speicherauslastung der Richtlinienkonfiguration zu reduzieren, gehen Sie wie folgt vor:
   1. Für eine Hardware-Firmware sollten Sie ein Upgrade Ihrer Firmware auf eine Plattform mit höherer Kapazität in Betracht ziehen, für eine Multi-Slot-Firewall sollten Sie die betroffene Karte nach Möglichkeit auf eine Karte mit höherer Kapazität aufrüsten.
   2. Wenn auf einer VM-Flex-FW eine Version niedriger als 10.2.0 ausgeführt wird, sollten Sie ein Upgrade auf eine höhere Version als 10.2.0 in Betracht ziehen, um die erhöhte Konfigurationskapazität zu nutzen, die durch die Speicherskalierung der Firewallfunktion der VM-Serie geboten wird. Erwägen Sie auch, den FW-Arbeitsspeicher/RAM zu erhöhen, um die Kapazität Ihrer VM-Flex-FW zu erhöhen.

1. Wenn festgestellt wird, dass das Problem mit der vordefinierten externen dynamischen Liste zusammenhängt, ist es wichtig zu verstehen, dass die Firewall Updates für diese Feeds über dynamische Antivirus-Updates erhält.So beheben Sie dieses Problem:
   1. Reduzieren Sie die EDL-Einträge in den EDL-Dateien, indem Sie Einträge nach Bedarf ausschließen, bis der Commit erfolgreich ist und die Firewall die Fehlerbedingung verlässt.Siehe https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/exclude-entries-from-an-external-dynamic-list.  
2. Wenn festgestellt wird, dass das Problem mit einer benutzerdefinierten externen dynamischen Liste zusammenhängt und gelöscht werden muss, verwenden Sie den CLI-Befehl:

   > debug external-list delete-file type ip name <name of the custom edl list>