エラーを修正する方法: エンタープライズ DLP プロファイルとパターンをクリックすると"操作に失敗しました" UI
Objective
この記事では DLP 、10.0 でエンタープライズ プラグインのデータ プロファイルまたはデータ パターン のセクションをクリックしたときに発生する一般的な"操作に失敗しました" エラーを修正する方法について説明します PAN-OS 。 エラーのスクリーンショットについては、添付画像を参照してください。
Environment
- Panorama エンタープライズ DLP ライセンスを使用する
- エンタープライズ DLP プラグインがインストールされています
- PAN-OS 10.0
Procedure
にデバイス証明書がインストールされていない場合 Panorama 、またはライセンスがアクティブ化されている管理対象のデバイス証明書が存在しない場合、このエラー メッセージ firewall DLP が表示されることがあります。管理者ガイドの指示に従って(追加情報のリンクを参照 DLP )、プラグインが正しく動作するためには、デバイス証明書をインストールする必要があります。このエラーが表示された場合は、plugin_dlp.logをチェックして、デバイス証明書が不足していることを示す次のようなログが見つかるかどうかを確認します。
mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.011 +0000 INFO: [dlp_agent] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/data-patterns/ mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get server cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.176 +0000 INFO: [dlp_agent] Get issuer cert success mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.356 +0000 ERROR: [dlp_agent] Cannot load the device certificate for authentication mp plugin_dlp.log 2021-01-30 14:02:09 2021-01-30 14:02:09.366 +0000 ERROR: [dlp_agent] Tenant: , Result: fail, Message: Cannot load the device certificate for authentication mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device certificate: expected a character buffer object mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.700 +0000 INFO: [dlp-op-cmds] get_device_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] key_store():Unable to get key device_cert_private_key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] (1, [], ['modify failed: USER\n'], 12801) mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Device private key not found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.718 +0000 ERROR: [dlp-op-cmds] Failed to retrieve device private key mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Error in set_cert coercing to Unicode: need string or buffer, NoneType found mp plugin_dlp.log 2021-02-01 20:28:39 2021-02-01 20:28:39.719 +0000 ERROR: [dlp-op-cmds] Critical: Unable to set device cert and capath
1) 両方のデバイス証明書と管理対象デバイスがインストールされていることを確認します Panorama 。この方法に関するリンクについては、追加情報を参照してください。
2)それが完了したら、プラグインをアンインストールし、 DLP Panorama プラグイン>再インストールします。この後、エラーは消えるはずです。
NOTE- データフィルタリングプロファイル/パターンをクリックしても同様のエラーが表示されるが、"DLP このテナントにはプロビジョニングされていません" と記載されている場合は、plugin_dlp.logをチェックして、クラウドサーバーへの接続に失敗していないかどうかを確認します。
2021-02-02 15:10:36.293 +0000 INFO: [dlp-op-cmds] Accessing DLP URL : https://enforcer-hawkeye.services-edge.paloaltonetworks.com:443/v1/dlp/tenant-id-query/ngfw/0007ev30198 2021-02-02 15:10:36.504 +0000 INFO: [dlp-op-cmds] Provision tenant: response : {'message': "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", 'result': 'fail'} 2021-02-02 15:10:36.505 +0000 ERROR: [dlp-op-cmds] Provisioning tenant failed. rc = {"message": "Unable to connect to API gateway. (35, 'OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to enforcer-hawkeye.services-edge.paloaltonetworks.com:443 ')", "result": "fail"} 2021-02-02 15:10:36.505 +0000 INFO: [dlp-op-cmds] Cannot perform operation : DLP not provisioned for this tenant接続に関連するメッセージが表示された場合は、プラグインが正常に動作するために、このトラフィックを許可する必要があります。
Additional Information
Panorama 10.0 の管理者ガイド
エンタープライズ データ損失防止のインストール ( DLP ) プラグイン
https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/set-up-enterprise-data-loss-prevention/install-the-enterprise-data-loss-prevention-dlp-plugin.html
Panorama デバイス証明書をインストール
する https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/セットアップ panorama - panorama /install-the-device-certificate.html
管理対象https://docs.paloaltonetworks.com/ panorama /10-0/ -admin/manage のデバイス証明書をインストールします。 panorama -ファイアウォール/インストール-デバイス証明書 -管理されたファイアウォール/デバイス firewall 証明書のインストール-管理
NOTE.html :Firewall
エンタープライズデータ損失防止 ( ) プラグインのインストールに成功した後 DLP 、既存のデータパターンとフィルタリングプロファイルは表示されなくなりますが、セキュリティルールで参照できます policy 。 Enterprise プラグインのインストール後に編集する必要がある既存のデータフィルタリングパターンとプロファイルが設定されている場合 DLP は、Web インターフェースで再度表示できます Panorama 。詳細については、https://docs.paloaltonetworks.com/ panorama /10-0/ panorama -admin/manage-firewalls/セットアップ-エンタープライズデータ損失防止/既存のデータパターンとフィルタリングプロファイルを有効にする.html#id69f948d7-53b2-4aef-a735-77da15d5b3a6を参照してください。