Cómo corregir el error: "operación fallida" al hacer clic en DLP perfiles y patrones de empresa de la UI
Objective
En este artículo se describe cómo corregir un error genérico de "error de operación" visto al hacer clic en las secciones de perfiles de datos o patrones de datos del complemento empresarial DLP en PAN-OS 10.0. Consulte la imagen adjunta para obtener una captura de pantalla del error.
Environment
- Panorama con DLP licencia Enterprise
- Enterprise DLP Plugin instalado
- PAN-OS 10,0
Procedure
Este mensaje de error se puede lanzar si no hay ningún certificado de dispositivo instalado en el Panorama archivo , o potencialmente en el administrado donde se activa la firewall DLP licencia.Según las instrucciones que se encuentran en la guía de administración (ver enlace en información adicional) los certificados del dispositivo deben estar instalados para que el DLP plugin funcione correctamente.Si recibe este error, compruebe el plugin_dlp.log para ver si encuentra registros similares a los siguientes, que indican un certificado de dispositivo que falta:
mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.011 +0000 INFO: [dlp_agent] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/data-patterns/ mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get server cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get issuer cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.356 +0000 ERROR: [dlp_agent] Cannot load the device certificate for authentication mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.366 +0000 ERROR: [dlp_agent] Tenant: , Result: fail, Message: Cannot load the device certificate for authentication mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device certificate: expected a character buffer object mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 INFO: [dlp-op-cmds] get_device_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] key_store():Unable to get key device_cert_private_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] (1, [], ['modify failed: USER\n'], 12801) mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Device private key not found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device private key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Error in set_cert coercing to Unicode: need string or buffer, NoneType found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Critical: Unable to set device cert and capath
1) Asegúrese de que tiene certificados de dispositivo en ambos Panorama y los dispositivos administrados instalados.Consulte la información adicional para obtener vínculos sobre cómo hacerlo.
2) Una vez hecho esto, desinstale y vuelva a instalar el DLP complemento desde Panorama > Plugins.Después de esto, el error debe desaparecer.
NOTE- Si ve un error similar al hacer clic en perfiles / patrones de filtrado de datos, pero mencionaDLP "no aprovisionado para este inquilino" - compruebe el plugin_dlp.log para ver si hay algún error al conectarse al servidor en la nube, por ejemplo:
2021-02-02 15:10:36.293 +0000 INFO: [dlp-op-cmds] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/tenant-id-query/ngfw/0007ev30198 2021-02-02 15:10:36.504 +0000 INFO: [dlp-op-cmds] Provision tenant: response : {'message': "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", 'result': 'fail'} 2021-02-02 15:10:36.505 +0000 ERROR: [dlp-op-cmds] Provisioning tenant failed. rc = {"message": "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", "result": "fail"} 2021-02-02 15:10:36.505 +0000 INFO: [dlp-op-cmds] Cannot perform operation : DLP not provisioned for this tenantSi ves algún mensaje relacionado con la conectividad, tendrás que permitir que este tráfico para que el plugin funcione correctamente.
Additional Information
Panorama Guía de administración para 10.0
Instalar el complemento Enterprise Data Loss Prevention ( DLP )
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/install-the-enterprise-data-loss-prevention-dlp-plugin.html
Instalar el certificado de Panorama dispositivo
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/set-up- panorama /install-the- panorama -device-certificate.html
Instalar el certificado de dispositivo para un Firewall
https://docs.paloaltonetworks.com/ administrado panorama /10-0/ panorama -admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed- firewall .html
NOTE:
Después de instalar correctamente el complemento Enterprise Data Loss Prevention ( ), ya no se muestran los patrones de datos existentes y los perfiles de DLP filtrado, pero todavía se puede hacer referencia a las reglas de policy seguridad. Si tiene configurados los patrones y perfiles de filtrado de datos existentes que necesita editar después de instalar el DLP complemento Enterprise, puede mostrarlos una vez más en la Panorama interfaz web.Para obtener más información, consulte https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/enable-existing-data-patterns-and-filtering-profiles.html#id69f948d7-53b2-4aef-a735-77da15d5b3a6