Genindex.sh causando alto MP CPU después de la actualización
22554
Created On 09/03/20 22:20 PM - Last Modified 03/26/21 18:36 PM
Symptom
Después de la actualización a ciertas versiones afectadas mencionadas en la sección de entorno, genindex.sh proceso muestra que el 100% CPU sostenido en . de genindex.sh permanece al MP
CPU 100% constantemente y no baja durante días o semanas. O CPU picos observados 30 días después de una actualización. O CLI y no son GUI accesibles. Este comportamiento en plataformas de gama baja como PA- 2xx u PA- 8xx puede afectar al funcionamiento del firewall sistema porque tienen un único que controlar tanto como CPU DP MP funcionalidades.
Comportamiento esperado: CPU picos de genindex.sh que comienzan cada 15 minutos y duran menos de un minuto.
Environment
- Cualquier Palo Alto Firewall excepto la serie 7k
- PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1
Cause
genindex.sh es un script que se ejecuta cada 15 minutos e indexa archivos de registro (como tráfico, amenaza, sistema) para una consulta más rápida de los registros. Por motivos de rendimiento, genindex.sh no indexa todos los directorios de registro, sino solo los que se han modificado en los últimos 30 días.
El script es CPU intensivo y puede dar lugar a CPU picos cada 15 minutos. Esto no debe causar ningún problema o ser perjudicial para el firewall y dura sólo hasta que haya completado la indexación de todos los registros.
Debido a una corrección introducida para PAN-132898 , la marca de tiempo modificada de todos los directorios de registro se actualiza, haciendo que el script genindex.sh pase a través de todos los directorios en lugar de los últimos 30 días. Si hay registros almacenados de más de un año, el número de directorios de registro atravesados puede llegar a un 1000, lo que conduce a un uso sostenido de cpu de gendindex.sh.Este problema solo ocurre si está ejecutando una versión afectada ( PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1).
Resolution
- Verifique si el proceso de Genindex.sh está causando un alto CPU sostenido. A continuación se enumeran varias formas de verificar lo mismo.
- Abra una CLI sesión y ejecute"mostrar los recursos del sistema seguir". Compruebe si el tiempo de procesamiento genindex.sh CPU es largo. Normalmente debe caer en un minuto.
- Abra una CLI sesión y ejecute "less mp-log indexgen.log" y busque mensajes que indiquen que genindex está generando índices para registros anteriores. Aquí está un ejemplo de los registros mencionados que muestra un registro de 7 meses de antigüedad.
generating indexes for weeklytrsum db on seqno actionflags xff_ip s_decrypted s_encrypted hostid src_category
src_profile dst_category dst_profile :/opt/pancfg/mgmt/logdb/weeklytrsum/1/20200130/pan.0000000000.log
- Abra una CLI sesión y compruebe el período de retención actual mediante el comando " show systemlogdb-quota" y verifique qué registros no tienen una retención policy .En el ejemplo siguiente, se pueden ajustar los días de retención.
<Output Omitted>
.........
traffic: Logs and Indexes: 1.3G Current Retention: 656 days
threat: Logs and Indexes: 124M Current Retention: 638 days
system: Logs and Indexes: 1.4G Current Retention: 656 days
<Output Omitted>
- Una vez confirmados, establezca Los días máximos de retención para limitar el número de días de registros almacenados en el disco. Esto reduce el número de directorios de registro que genindex.sh necesita procesar.
La retención se puede establecer GUI mediante: Configuración de > dispositivo > Configuración de > registro e informes > El almacenamiento de registros > días máximos.
si los días están configurados, modifique este valor a algo menor que lo que ya tiene.
Configurar cuotas de almacenamiento de registros y períodos de expiración
Recomendación general:
Si no está utilizando informes predefinidos y si está habilitado, considere la posibilidad de deshabilitar esta característica para mejorar el rendimiento con el registro y los informes. Esto es especialmente importante para las plataformas de gama baja,
desactivar informes predefinidos
si los días están configurados, modifique este valor a algo menor que lo que ya tiene.
Configurar cuotas de almacenamiento de registros y períodos de expiración
Recomendación general:
Si no está utilizando informes predefinidos y si está habilitado, considere la posibilidad de deshabilitar esta característica para mejorar el rendimiento con el registro y los informes. Esto es especialmente importante para las plataformas de gama baja,
desactivar informes predefinidos