ポリシー構成のメモリ使用量が高く、コミットの失敗が「CONFIG_UPDATE_STARTの処理に失敗しました」というエラーが表示される

• CLIの出力におけるポリシーキャッシュ使用率が高い:

> debug dataplane show cfg-memstat statistics
VSYS POLICY CACHE Allocator Usage

POLICY CACHE (ACTIVE)         :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<
:
POLICY CACHE (PASSIVE)       :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<

• コミットの失敗
• この場合に表示されるコミット失敗エラーメッセージの例:

  "Details:Error: Failed to get vsys config, already allocated (2621440 bytes)
  failed to handle CONFIG_UPDATE_START"

• Prisma Accessで使用されるVMを含むPAN-OSを実行しているプラットフォーム。

• ポリシー規則の送信元アドレスまたは宛先アドレスとして構成されている IP アドレス/FQDN/タグ (登録済み IP)/DAG が多すぎます。
• EDL で設定されている IP アドレス/FQDN が多すぎて、EDL がポリシー ルールの送信元アドレスまたは宛先アドレスとして設定されています。
• 構成されているポリシー ルールが多すぎます (ほとんどの場合、セキュリティ ポリシー ルールです)。

1. ポリシー ルールの送信元アドレスまたは宛先アドレスとして構成されている IP アドレス/FQDN/タグ (登録済み IP)/DAG の数を減らします。
2. ポリシー・ルールの送信元アドレスまたは宛先アドレスとして構成されているEDLで構成されているIPアドレス/FQDNの数を減らします。
3. 構成するポリシー ルールの数を減らします。
4. Multi Virtual System(multi-vsys)ファイアウォールの場合は、 未使用の vsys を削除して vsys の数を減らすことを検討してください。
5. 上記の推奨事項に従った後でも、ポリシー設定のメモリ使用量を減らすことができない場合は、次の操作を行います。
   1. ハードウェア FW の場合は、FW を大容量のプラットフォームにアップグレードすることを検討し、マルチスロット ファイアウォールの場合は、可能であれば、影響を受けるカードを大容量のカードにアップグレードすることを検討してください。
   2. VM-Flex FW で 10.2.0 より前のバージョンを実行している場合は、10.2.0 以降のバージョンにアップグレードして、VM シリーズ ファイアウォール機能のメモリ スケーリングによって提供される構成容量の増加を利用することを検討してください。 また、VM-Flex FW の容量を増やすために、FW メモリ/RAM を増やすことも検討してください。

1. 問題が定義済みの外部動的リストに関連していると判断された場合は、ファイアウォールがウイルス対策の動的更新を通じてこれらのフィードの更新を受信することを理解することが重要です。この問題を軽減するには、次のようにします。
   1. コミットが成功し、ファイアウォールがエラー状態から抜け出すまで、必要に応じてエントリを除外して、EDL ファイル内の EDL エントリを減らします。https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/exclude-entries-from-an-external-dynamic-list を参照してください。  
2. 問題がカスタム外部ダイナミックリストに関連していると判断され、それを削除する必要がある場合は、CLIコマンドを使用します。

   > debug external-list delete-file type ip name <name of the custom edl list>