Uso elevado de la memoria de configuración de la directiva y errores de confirmación con el error "no se pudo controlar CONFIG_UPDATE_START"

• Alto porcentaje de uso de caché de políticas en la salida de la CLI:

> debug dataplane show cfg-memstat statistics
VSYS POLICY CACHE Allocator Usage

POLICY CACHE (ACTIVE)         :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<
:
POLICY CACHE (PASSIVE)       :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<

• Error de confirmación
• Ejemplo de mensajes de error de error de confirmación vistos en este caso:

  "Details:Error: Failed to get vsys config, already allocated (2621440 bytes)
  failed to handle CONFIG_UPDATE_START"

• Cualquier plataforma que ejecute PAN-OS, incluidas las máquinas virtuales utilizadas por Prisma Access.

• Se configuran demasiadas direcciones IP, FQDN, etiquetas (direcciones IP registradas) o DAG como direcciones de origen o destino de las reglas de directiva.
• Se configuran demasiadas direcciones IP/FQDN en las EDL y las EDL se configuran como direcciones de origen o destino de las reglas de directiva;
• Se configuran demasiadas reglas de directiva (en la mayoría de los casos, son reglas de directiva de seguridad).

1. Reduzca el número de direcciones IP, FQDN, etiquetas (direcciones IP registradas) o DAG configurados como dirección de origen o destino de las reglas de directiva.
2. Reduzca el número de direcciones IP o FQDN configurados en EDL que se configuran como dirección de origen o destino de las reglas de directiva.
3. Reduzca el número de reglas de directiva configuradas.
4. En el caso de un firewall de varios sistemas virtuales (varios vsys), considere la posibilidad de reducir el número de vsys eliminando cualquier vsys no utilizado.
5. Si, incluso después de seguir la recomendación enumerada anteriormente, no puede reducir el uso de memoria de configuración de la directiva, entonces:
   1. En el caso de un firmware de hardware, considere la posibilidad de actualizar el firmware a una plataforma de mayor capacidad, mientras que en el caso de un firewall de varias ranuras, considere la posibilidad de actualizar la tarjeta afectada a una tarjeta de mayor capacidad, si es posible.
   2. En el caso de un firmware de VM-Flex si se ejecuta una versión inferior a la 10.2.0, considere la posibilidad de actualizar a una versión superior a la 10.2.0 para aprovechar la mayor capacidad de configuración que ofrece el escalado de memoria de la función de firewall de la serie VM. Considere también la posibilidad de aumentar la memoria/RAM del firmware para aumentar la capacidad del firmware de VM-Flex.

1. Si se determina que el problema está relacionado con la lista dinámica externa predefinida, es importante comprender que el firewall recibe actualizaciones para estas fuentes a través de actualizaciones dinámicas de antivirus.Para mitigar este problema:
   1. Reduzca las entradas EDL en los archivos EDL excluyendo las entradas según sea necesario hasta que la confirmación se realice correctamente y el firewall salga de la condición de error.Consulte https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/exclude-entries-from-an-external-dynamic-list.  
2. Si se determina que el problema está relacionado con una lista dinámica externa personalizada y es necesario eliminarla, utilice el comando CLI:

   > debug external-list delete-file type ip name <name of the custom edl list>