Utilisation élevée de la mémoire de configuration et échecs de validation avec l’erreur « échec de la gestion de CONFIG_UPDATE_START »

• Pourcentage élevé d’utilisation du cache de stratégie dans la sortie de l’interface de ligne de commande :

> debug dataplane show cfg-memstat statistics
VSYS POLICY CACHE Allocator Usage

POLICY CACHE (ACTIVE)         :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<
:
POLICY CACHE (PASSIVE)       :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<

• Échec de la validation
• Exemple de messages d’erreur d’échec de validation observés dans ce cas :

  "Details:Error: Failed to get vsys config, already allocated (2621440 bytes)
  failed to handle CONFIG_UPDATE_START"

• Toute plate-forme exécutant PAN-OS, y compris les machines virtuelles utilisées par Prisma Access.

• Un trop grand nombre d’adresses IP/noms de domaine complets/balises (adresses IP enregistrées)/DAG sont configurés en tant qu’adresses source ou de destination des règles de stratégie.
• Trop d’adresses IP/noms de domaine complets sont configurés dans les listes EDL et les listes de noms de domaine complets sont configurées en tant qu’adresses source ou de destination des règles de stratégie.
• Trop de règles de stratégie sont configurées (dans la plupart des cas, il s’agit de règles de stratégie de sécurité).

1. Réduisez le nombre d’adresses IP/noms de domaine complets/balises(adresses IP enregistrées)/DAG configurés en tant qu’adresse source ou de destination des règles de stratégie.
2. Réduisez le nombre d’adresses IP/noms de domaine complets configurés dans les listes de contrôle d’accès qui sont configurées en tant qu’adresse source ou de destination des règles de stratégie.
3. Réduisez le nombre de règles de stratégie configurées.
4. Dans le cas d’un pare-feu multi-vsys (Multi Virtual System), envisagez de réduire le nombre de vsys en supprimant tous les vsys inutilisés.
5. Si, même après avoir suivi la recommandation ci-dessus, vous ne parvenez pas à réduire l’utilisation de la mémoire de configuration de la stratégie, alors :
   1. Dans le cas d’un micrologiciel matériel, envisagez de mettre à niveau votre micrologiciel vers une plate-forme de plus grande capacité, et dans le cas d’un pare-feu multi-emplacements, envisagez de mettre à niveau la carte concernée vers une carte de plus grande capacité, si possible.
   2. Pour un micrologiciel VM-Flex s’il exécute une version antérieure à 10.2.0, envisagez une mise à niveau vers une version supérieure à 10.2.0 pour tirer parti de la capacité de configuration accrue offerte par la mise à l’échelle de la mémoire de la fonctionnalité de pare-feu de la série de machines virtuelles. Envisagez également d’augmenter la mémoire/RAM du micrologiciel pour augmenter la capacité de votre micrologiciel VM-Flex.

1. S'il s'avère que le problème est lié à la liste dynamique externe prédéfinie, il est important de comprendre que le pare-feu reçoit des mises à jour pour ces flux par le biais de mises à jour dynamiques antivirus.Pour atténuer ce problème :
   1. Réduisez le nombre d’entrées EDL dans les fichiers EDL en excluant les entrées si nécessaire jusqu’à ce que la validation réussisse et que le pare-feu sorte de la condition d’erreur.Reportez-vous à https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/exclude-entries-from-an-external-dynamic-list.  
2. S’il est déterminé que le problème est lié à une liste dynamique externe personnalisée et qu’il est nécessaire de la supprimer, utilisez la commande CLI :

   > debug external-list delete-file type ip name <name of the custom edl list>