Genindex.sh verursacht nach dem Upgrade einen hohen Wert MP CPU
22552
Created On 09/03/20 22:20 PM - Last Modified 03/26/21 18:36 PM
Symptom
Nach dem Upgrade auf bestimmte betroffene Versionen, die im Umweltbereich erwähnt werden, zeigt genindex.sh Prozess anhaltende 100% CPU der genindex.sh konstant bei MP
CPU 100% bleibt und nicht für Tage oder Wochen abnimmt. Oder CPU Spitzen, die 30 Tage nach einem Upgrade beobachtet wurden. Oder CLI und sind nicht GUI zugänglich. Dieses Verhalten in Low-End-Plattformen wie 2xx oder 8xx kann sich auf die Funktion des auswirken, da sie über eine einzige Funktion verfügen, PA- die sowohl als auch funktionalität PA- firewall CPU enthator DP MP ist.
Erwartetes Verhalten: CPU Spitzen von genindex.sh, die alle 15 Minuten beginnen und weniger als eine Minute dauern.
Environment
- Alle Palo Alto Firewall außer 7k Serie
- PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1
Cause
genindex.sh ist ein Skript, das alle 15 Min. ausgeführt wird und Protokolldateien (z. B. Datenverkehr, Bedrohung, System) indiziert, um die Protokolle schneller abfragen zu können. Aus Leistungsgründen genindex.sh nicht alle Protokollverzeichnisse, sondern nur diejenigen, die in den letzten 30 Tagen geändert wurden.
Das Skript ist CPU intensiv und kann alle CPU 15 Minuten zu Spitzen führen. Dies sollte keine Probleme verursachen oder sich nachteilig auf die und firewall dauert nur, bis es die Indizierung aller Protokolle abgeschlossen hat.
Aufgrund eines für eingeführten Fixes PAN-132898 wird der geänderte Zeitstempel aller Protokollverzeichnisse aktualisiert, sodass das genindex.sh Skript alle Verzeichnisse anstelle der letzten 30 Tage durchsucht. Wenn Protokolle aus mehr als einem Jahr gespeichert sind, kann die Anzahl der durchlaufenen Protokollverzeichnisse bis zu 1000 erreichen, was zu einer anhaltenden CPU-Auslastung von gendindex.sh führt.Dieses Problem tritt nur auf, wenn Sie eine betroffene Veröffentlichungen ausführen ( PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1).
Resolution
- Überprüfen Sie, ob der Genindex.sh Prozess anhaltend hohe CPU verursacht. Im Folgenden werden mehrere Möglichkeiten zur Überprüfung derselben aufgeführt.
- Öffnen Sie eine CLI Sitzung, und führen Sie "Systemressourcen anzeigen folgen". Überprüfen Sie, ob die genindex.sh CPU Verarbeitungszeit lang ist. Normalerweise sollte es in einer Minute fallen.
- Öffnen Sie eine CLI Sitzung, und führen Sie "weniger mp-log indexgen.log" aus, und suchen Sie nach Meldungen, die darauf hinweisen, dass genindex Indizes für ältere Protokolle generiert. Hier ist ein Beispiel für erwähnte Protokolle, die ein 7 Monate altes Protokoll zeigt.
generating indexes for weeklytrsum db on seqno actionflags xff_ip s_decrypted s_encrypted hostid src_category
src_profile dst_category dst_profile :/opt/pancfg/mgmt/logdb/weeklytrsum/1/20200130/pan.0000000000.log
- Öffnen Sie eine CLI Sitzung, und überprüfen Sie den aktuellen Aufbewahrungszeitraum mithilfe des Befehls "Systemlogdb-quota anzeigen" und überprüfen Sie, welche Protokolle keine Aufbewahrung policy haben.Im folgenden Beispiel können Aufbewahrungstage optimiert werden.
<Output Omitted>
.........
traffic: Logs and Indexes: 1.3G Current Retention: 656 days
threat: Logs and Indexes: 124M Current Retention: 638 days
system: Logs and Indexes: 1.4G Current Retention: 656 days
<Output Omitted>
- Legen Sie nach der Bestätigung Max. Aufbewahrungstage fest, um die Anzahl der Tage der auf dem Datenträger gespeicherten Protokolle zu begrenzen. Dadurch wird die Anzahl der Protokollverzeichnisse reduziert, die genindex.sh verarbeiten muss.
Die Aufbewahrung kann mit GUI : Device > Setup > Management > Protokollierungs- und Berichtseinstellungen > Protokollspeicher > Max Days festgelegt werden.
Wenn die Tage konfiguriert sind, ändern Sie diesen Wert in etwas kleiner als das, was Sie bereits haben.
Konfigurieren von Protokollspeicherkontingenten und Ablaufperioden
Allgemeine Empfehlung:
Wenn Sie keine vordefinierten Berichte verwenden und diese Option aktiviert ist, sollten Sie diese Funktion deaktivieren, um die Leistung mit Protokollierung und Berichterstellung zu verbessern. Dies ist besonders wichtig für Low-End-Plattformen,
Deaktivieren von vordefinierten Berichten
Wenn die Tage konfiguriert sind, ändern Sie diesen Wert in etwas kleiner als das, was Sie bereits haben.
Konfigurieren von Protokollspeicherkontingenten und Ablaufperioden
Allgemeine Empfehlung:
Wenn Sie keine vordefinierten Berichte verwenden und diese Option aktiviert ist, sollten Sie diese Funktion deaktivieren, um die Leistung mit Protokollierung und Berichterstellung zu verbessern. Dies ist besonders wichtig für Low-End-Plattformen,
Deaktivieren von vordefinierten Berichten