Après un redémarrage, firewall l’état « pas prêt », s’engager ne commence pas
44218
Created On 10/16/20 02:21 AM - Last Modified 08/19/22 03:46 AM
Symptom
- Après le redémarrage, firewall les restes en état « Pas prêt ».
- Les travaux d’engagement automatique échouent avec le message
Management server failed to send phase 1 to client cord Commit failed Failed to commit policy to device
- La force de validation échouera avec l’erreur
admin@Lab32-13-PA-3020# commit force Server error : Commit job was not queued. All daemons are not available.
- Le processus cdb est arrêté.
admin@Lab32-13-PA-3020> show system software status Slot 0, Role mp ---------------------------------------- Type Name State Info Group all running .... Group third_party running Process authd running (pid: 3485) Process cdb stopped (pid: -1) - Exit Code: 100 ... Process websrvr running (pid: 3459
Environment
- PAN-OS
- Plates-formes fonctionnant avec le processus cdb PA-3000 PA-3200 (Série, PA-5000 Série, Série, PA-5200 Série et PA-7000 Série)
Cause
La partition des panlogs est pleine.
admin@Lab32-13-PA-3020> show system disk-space Filesystem Size Used Avail Use% Mounted on /dev/root 3.8G 3.0G 643M 83% / none 1.9G 64K 1.9G 1% /dev /dev/sda5 7.6G 4.9G 2.3G 69% /opt/pancfg /dev/sda6 3.8G 2.8G 842M 77% /opt/panrepo tmpfs 1.9G 247M 1.6G 14% /dev/shm /dev/sda8 90G 89G 0 100% /opt/panlogs tmpfs 12M 0 12M 0% /opt/pancfg/mgmt/lcaas/ssl/private
Resolution
Si vous avez déjà une copie des journaux sur un système externe Panorama (par exemple), vous pouvez effacer les journaux en suivant KB l’article - Comment effacer les journaux sur un périphérique Palo Alto Networks
Si vous n’avez pas de copie sur un système externe, vous devrez contacter le support.
Une fois le problème résolu, il peut être intéressant de réduire le quota du trafic et les journaux de menace de 1 ou 2% chacun.