Genindex.sh élevé après la MP CPU mise à niveau
22566
Created On 09/03/20 22:20 PM - Last Modified 03/26/21 18:36 PM
Symptom
Après la mise à niveau de certaines rejets affectées mentionnées dans la section environnement, le processus de genindex.sh montre soutenu à 100% sur . de genindex.sh reste CPU MP à
CPU 100% en permanence et ne descend pas pendant des jours ou des semaines. Ou CPU des pointes observées 30 jours après une mise à niveau. Ou CLI et ne sont pas GUI accessibles. Ce comportement dans les plates-formes bas de gamme telles PA- que 2xx ou PA- 8xx peut avoir un impact sur le fonctionnement de la firewall parce qu’ils ont un seul CPU à gérer à la fois et les DP MP fonctionnalités.
Comportement attendu: CPU pointes de genindex.sh qui commencent toutes les 15 minutes et durent moins d’une minute.
Environment
- N’importe quel Palo Alto Firewall sauf série 7k
- PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1
Cause
genindex.sh est un script qui s’exécute toutes les 15 minutes et indexe les fichiers journaux (tels que le trafic, la menace, le système) pour une requête plus rapide des journaux. Pour des raisons de performances, genindex.sh n’indexe pas tous les répertoires de journaux, mais seulement ceux qui ont été modifiés au cours des 30 derniers jours.
Le script est CPU intensif et peut entraîner des CPU pointes toutes les 15 minutes. Cela ne devrait pas causer de problèmes ou être préjudiciable à la et firewall ne dure que jusqu’à ce qu’il ait terminé l’indexation de tous les journaux.
En raison d’un correctif PAN-132898 introduit pour , la lampe de temps modifiée de tous les répertoires journaux est mis à jour, provoquant le script genindex.sh à marcher à travers tous les répertoires au lieu des 30 derniers jours. S’il y a des journaux stockés à partir de plus d’un an, le nombre d’annuaires journaux parcourus peut aller jusqu’à 1000, ce qui conduit à une utilisation soutenue du cpu de gendindex.sh.Ce problème ne se produit que si vous exécutant une versions affectées ( PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1).
Resolution
- Vérifiez si le Genindex.sh est à l’origine d’une forte croissance CPU soutenue. Plusieurs façons de vérifier la même chose sont énumérées ci-dessous.
- Ouvrez une CLI session et exécutez "les ressources du système d’exposition suivent« . Vérifiez si le temps genindex.sh CPU traitement est long. Normalement, il devrait tomber dans une minute.
- Ouvrez CLI une session et exécutez « moins mp-log indexgen.log » et recherchez des messages indiquant que genindex génère des indices pour les journaux plus anciens. Voici un exemple de journaux mentionnés qui montre un journal de 7 mois.
generating indexes for weeklytrsum db on seqno actionflags xff_ip s_decrypted s_encrypted hostid src_category
src_profile dst_category dst_profile :/opt/pancfg/mgmt/logdb/weeklytrsum/1/20200130/pan.0000000000.log
- Ouvrez CLI une session et vérifiez la période de rétention actuelle en utilisant la commande " afficher le systèmelogdb-quota" et vérifier quels journaux n’ont pas de policy rétention.Dans l’exemple ci-dessous, les jours de rétention peuvent être accordés.
<Output Omitted>
.........
traffic: Logs and Indexes: 1.3G Current Retention: 656 days
threat: Logs and Indexes: 124M Current Retention: 638 days
system: Logs and Indexes: 1.4G Current Retention: 656 days
<Output Omitted>
- Une fois confirmé, définissez les jours de rétention Max pour limiter le nombre de jours de journaux stockés sur disque. Cela réduit le nombre d’annuaires journaux que genindex.sh doit traiter.
La rétention peut être définie à GUI l’aide de : Périphérique > configuration > gestion >'enregistrement et de reporting > stockage > max days.
si les jours sont configurés, modifiez cette valeur en quelque chose de moins que ce que vous avez déjà.
Configurer les quotas de stockage journaux et les périodes d’expiration
Recommandation générale :
Si vous n’utilisez pas de rapports prédéfinissiés et si elle est activée, envisagez de désactiver cette fonctionnalité pour améliorer les performances avec l’enregistrement et les rapports. Ceci est particulièrement important pour les plates-formes bas de
gamme, Désactiver les rapports prédéfinis
si les jours sont configurés, modifiez cette valeur en quelque chose de moins que ce que vous avez déjà.
Configurer les quotas de stockage journaux et les périodes d’expiration
Recommandation générale :
Si vous n’utilisez pas de rapports prédéfinissiés et si elle est activée, envisagez de désactiver cette fonctionnalité pour améliorer les performances avec l’enregistrement et les rapports. Ceci est particulièrement important pour les plates-formes bas de
gamme, Désactiver les rapports prédéfinis