Genindex.sh MP CPU 升级后导致高
22562
Created On 09/03/20 22:20 PM - Last Modified 03/26/21 18:36 PM
Symptom
升级到环境部分中提到的某些受影响的版本后,genindex.sh 过程显示持续 100% CPU 的 MP
CPU genindex.sh 持续保持在 100%, 并且不会持续数天或数周。 或 CPU 升级后 30 天观察到的峰值。 或者 CLI GUI 并且无法访问。 这种行为在低端平台,如 PA- 2xx或 PA- 8xx可以影响功能, firewall 因为他们有一个单一 CPU 的处理 DP 和 MP 功能。
预期行为: CPU 每15分钟开始一次、持续不到一分钟的 genindex.sh 峰值。
Environment
- 任何帕洛阿尔托 Firewall 除了7k系列
- PAN-OS 8.1.14 - 8.1.16, 9.0.8 - 9.0.10, 9.1.0 - 9.1.5, 10.0.0 -10.0.1
Cause
genindex.sh是每 15 分钟运行一次的脚本,并索引日志文件(如流量、威胁、系统),以便更快地查询日志。 出于性能原因,genindex.sh 不对所有日志目录进行索引,而仅对过去 30 天内已修改的日志目录进行索引。
脚本密集 CPU , CPU 每 15 分钟可产生峰值。 这不应导致任何问题或损害 firewall 和持续,直到它完成了所有日志的索引。
由于引入的修复 PAN-132898 程序,所有日志目录的修改时间戳都会更新,导致 genindex.sh 脚本通过所有目录,而不是过去 30 天。 如果存储了一年多的日志,则经过的日志目录数量可能高达 1000 个,从而持续使用 cpu gendindex.sh。只有当您运行一个受影响的版本 PAN-OS (8.1.14 - 8.1.16、9.0.8 - 9.0.10、9.1.0 - 9.1.5、10.0-10.0.1)时,才会发生此问题。
Resolution
- 验证 Genindex.sh 过程是否导致持续高 CPU 位。 下面列出了验证相同内容的多种方法。
- 打开 CLI 会话并运行"显示系统资源跟随"。 验证 genindex.sh CPU 处理时间是否长。 通常它应该在一分钟内下降。
- 打开一个 CLI 会话,运行"少mp-log索引.log",并查找消息,表明genindex正在为旧日志生成索引。 下面是上述日志的示例,其中显示了 7 个月前的日志。
generating indexes for weeklytrsum db on seqno actionflags xff_ip s_decrypted s_encrypted hostid src_category
src_profile dst_category dst_profile :/opt/pancfg/mgmt/logdb/weeklytrsum/1/20200130/pan.0000000000.log
- 打开 CLI 会话,使用命令"显示系统日志-配额"检查当前保留期,并验证哪些日志没有保留 policy 。在下面的示例中,可以调整保留天数。
<Output Omitted>
.........
traffic: Logs and Indexes: 1.3G Current Retention: 656 days
threat: Logs and Indexes: 124M Current Retention: 638 days
system: Logs and Indexes: 1.4G Current Retention: 656 days
<Output Omitted>
- 确认后,设置最大保留日以限制存储在磁盘上的日志天数。 这减少了genindex.sh需要处理的日志目录数量。
保留可以使用 GUI :设备>设置>管理>记录和报告设置>日志存储>最大天数。
如果天被配置,将此值修改为小于您已有值的内容。
配置日志存储配额和到期期
一般建议:
如果您没有使用预先定义的报告,如果已启用,请考虑禁用此功能,以改进记录和报告的性能。 这对低端平台、
禁用预定义报告
尤其重要
如果天被配置,将此值修改为小于您已有值的内容。
配置日志存储配额和到期期
一般建议:
如果您没有使用预先定义的报告,如果已启用,请考虑禁用此功能,以改进记录和报告的性能。 这对低端平台、
禁用预定义报告
尤其重要