Comment réparer l’erreur: « échec de l’opération » lorsque vous cliquez sur DLP Profils et modèles d’entreprise à partir de la UI
Objective
Cet article traite de la façon de corriger une erreur générique « opération échouée » vu en cliquant sur les profils de données ou les sections de modèles de données DLP du plugin d’entreprise PAN-OS dans 10.0. Voir l’image ci-jointe pour une capture d’écran de l’erreur.
Environment
- Panorama avec DLP licence Enterprise
- DLPPlug-in d’entreprise installé
- PAN-OS 10,0
Procedure
Ce message d’erreur peut être lancé s’il n’y a pas de certificat d’appareil Panorama installé sur le , ou potentiellement sur la gestion firewall DLP où la licence est activée.Selon l’instruction trouvée dans le guide d’administration (voir lien dans des informations supplémentaires), les certificats de périphérique doivent être installés DLP afin que le plugin fonctionne correctement.Si vous recevez cette erreur, vérifiez le plugin_dlp.log pour voir si vous trouvez des journaux similaires à ce qui suit, qui indiquent un certificat d’appareil manquant :
mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.011 +0000 INFO: [dlp_agent] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/data-patterns/ mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get server cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get issuer cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.356 +0000 ERROR: [dlp_agent] Cannot load the device certificate for authentication mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.366 +0000 ERROR: [dlp_agent] Tenant: , Result: fail, Message: Cannot load the device certificate for authentication mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device certificate: expected a character buffer object mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 INFO: [dlp-op-cmds] get_device_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] key_store():Unable to get key device_cert_private_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] (1, [], ['modify failed: USER\n'], 12801) mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Device private key not found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device private key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Error in set_cert coercing to Unicode: need string or buffer, NoneType found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Critical: Unable to set device cert and capath
1) Vérifiez que vous avez des certificats d’appareil dans les deux Panorama et que les appareils gérés sont installés.Consultez les informations supplémentaires pour les liens sur la façon de le faire.
2) Une fois cela fait, désinstallez et réinstallez le DLP plugin à partir de > Panorama Plugins.Après cela, l’erreur devrait disparaître.
NOTE- Si vous voyez une erreur similaire lorsque vous cliquez sur les profils / modèles de filtrage de données, mais qu’elle mentionneDLP « non provisionné pour ce locataire » - vérifiez le plugin_dlp.log pour voir s’il y a une défaillance de connexion au serveur cloud, par exemple:
2021-02-02 15:10:36.293 +0000 INFO: [dlp-op-cmds] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/tenant-id-query/ngfw/0007ev30198 2021-02-02 15:10:36.504 +0000 INFO: [dlp-op-cmds] Provision tenant: response : {'message': "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", 'result': 'fail'} 2021-02-02 15:10:36.505 +0000 ERROR: [dlp-op-cmds] Provisioning tenant failed. rc = {"message": "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", "result": "fail"} 2021-02-02 15:10:36.505 +0000 INFO: [dlp-op-cmds] Cannot perform operation : DLP not provisioned for this tenantSi vous voyez des messages liés à la connectivité, vous devrez autoriser ce trafic pour que le plugin fonctionne correctement.
Additional Information
Panorama Guide administratif pour 10.0
Installer la prévention de perte de données d’entreprise ( ) DLP Plugin
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/install-the-enterprise-data-loss-prevention-dlp-plugin.html
Installer le certificat Panorama d’appareil
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin /set-up- panorama /installer-le- panorama -dispositif-certificat.html
Installer le certificatd’appareil pour Firewall
un https://docs.paloaltonetworks.com/ géré panorama /10-0/ panorama -admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed- firewall .html
NOTE: Après avoir
réussi à installer le plugin Enterprise Data Loss Prevention (), les modèles de données existants et les profils de filtrage ne sont plus affichés mais peuvent toujours être DLP référencés dans les règles de policy sécurité. Si vous avez des modèles de filtrage de données existants et des profils configurés que vous devez modifier après l’installation DLP du plugin Enterprise, vous pouvez à nouveau les afficher dans Panorama l’interface Web.Pour plus d’informations, voir https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/enable-existing-data-patterns-and-filtering-profiles.html#id69f948d7-53b2-4aef-a735-77da15d5b3a6