So beheben Sie den Fehler: "Vorgang fehlgeschlagen" beim Klicken auf DLP Unternehmensprofile und -muster aus dem UI
Objective
In diesem Artikel wird erläutert, wie Sie einen generischen Fehler "Operation failed" beheben können, der beim Klicken auf die Datenprofile oder Datenmusterabschnitte des DLP Unternehmens-Plugins in PAN-OS 10.0 angezeigt wird. Ein Screenshot des Fehlers finden Sie im angehängten Bild.
Environment
- Panorama mit DLP Enterprise-Lizenz
- Enterprise DLP Plugin installiert
- PAN-OS 10,0
Procedure
Diese Fehlermeldung kann ausgelöst werden, wenn kein Gerätezertifikat auf der Panorama installiert ist, oder möglicherweise auf der verwalteten, firewall in der die Lizenz aktiviert DLP ist.Gemäß der Anweisung im Admin-Handbuch (siehe Link in zusätzlichen Informationen) müssen die Gerätezertifikate installiert werden, damit das DLP Plugin ordnungsgemäß funktioniert.Wenn dieser Fehler auftritt, überprüfen Sie die plugin_dlp.log, um festzustellen, ob Sie Protokolle ähnlich den folgenden finden, die auf ein fehlendes Gerätezertifikat hinweisen:
mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.011 +0000 INFO: [dlp_agent] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/data-patterns/ mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get server cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get issuer cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.356 +0000 ERROR: [dlp_agent] Cannot load the device certificate for authentication mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.366 +0000 ERROR: [dlp_agent] Tenant: , Result: fail, Message: Cannot load the device certificate for authentication mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device certificate: expected a character buffer object mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 INFO: [dlp-op-cmds] get_device_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] key_store():Unable to get key device_cert_private_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] (1, [], ['modify failed: USER\n'], 12801) mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Device private key not found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device private key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Error in set_cert coercing to Unicode: need string or buffer, NoneType found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Critical: Unable to set device cert and capath
1) Überprüfen Sie, ob Sie Gerätezertifikate in beiden Panorama und den verwalteten Geräten installiert haben.Weitere Informationen hierzu finden Sie in den zusätzlichen Informationen.
2) Sobald dies erledigt ist, deinstallieren Sie das Plugin und installieren Sie es erneut DLP von Panorama > Plugins.Danach sollte der Fehler weggehen.
NOTE- Wenn Sie beim Klicken auf Datenfilterprofile / -muster einen ähnlichen Fehler sehen, aberDLP "nicht für diesen Mandanten bereitgestellt" erwähnt wird, überprüfen Sie die plugin_dlp.log, um zu sehen, ob eine Verbindung zum Cloud-Server fehlschlagt, z. B.:
2021-02-02 15:10:36.293 +0000 INFO: [dlp-op-cmds] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/tenant-id-query/ngfw/0007ev30198
2021-02-02 15:10:36.504 +0000 INFO: [dlp-op-cmds] Provision tenant: response : {'message': "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL
in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", 'result': 'fail'}
2021-02-02 15:10:36.505 +0000 ERROR: [dlp-op-cmds] Provisioning tenant failed. rc = {"message": "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect:
SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", "result": "fail"}
2021-02-02 15:10:36.505 +0000 INFO: [dlp-op-cmds] Cannot perform operation : DLP not provisioned for this tenantWenn Sie Irgendwelche Nachrichten im Zusammenhang mit Konnektivität sehen, müssen Sie zulassen, dass dieser Datenverkehr richtig funktioniert.Additional Information
Panorama Admin Guide for 10.0
Installieren Sie das Enterprise Data Loss Prevention ( ) DLP Plugin
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/install-the-enterprise-data-loss-prevention-dlp-plugin.html
Installieren Sie das Panorama Gerätezertifikat
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/set-up- panorama /install-the- panorama -device-certificate.html
Installieren Sie das Gerätezertifikat für einen verwalteten Firewall
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/ manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed- firewall .html
NOTE:
Nach erfolgreicher Installation des Enterprise Data Loss Prevention ( ) DLP Plugins werden vorhandene Datenmuster und Filterprofile nicht mehr angezeigt, können aber dennoch in Sicherheitsregeln referenziert policy werden. Wenn Sie vorhandene Datenfiltermuster und Profile konfiguriert haben, die Sie nach der Installation des Enterprise-Plugins bearbeiten DLP müssen, können Sie sie erneut in der Panorama Weboberfläche anzeigen.Weitere Informationen finden Sie unter https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/enable-existing-data-patterns-and-filtering-profiles.html-id69f948d7-53b2-4aef-a735-77da15d5b3a6