HIP 报告不会发送到GlobalProtect网关

HIP 报告不会发送到GlobalProtect网关

14680
Created On 02/13/21 03:09 AM - Last Modified 03/07/25 14:31 PM


Symptom


  • HIP基于匹配的安全规则控制全局保护用户的流量。
  • 规则不匹配,确定没有HIP客户端可在网关上获得报告。
  • 该问题影响特定网关的所有用户以及匹配特定代理配置的用户。
分流HIP基于故障排除文章的问题如何排除故障HIP匹配问题
  • 相同PC当连接到另一个GP网关或 Prisma 租户与HIP报告,可以看到该用户的日志。 这隔离了问题不在用户机器上。
  • 没有来自的块日志GP客户的公众号IP到网关的公众IP.
  • 即使从客户端删除所有第 3 方代理和安全软件后问题仍然存在。
  • 即使客户试图提交HIP手动报告,它不起作用。 下面的 PanGPS 日志表明即使是手动提交,客户端也没有提交报告。 (启用转储级别登录GP客户)
 
Dump 02/01/21 10:15:50:038 Received following message from UI
<request><type>hip</type></request>

Debug 02/01/21 10:15:50:045 CheckHipMissingPatchInOtherProcess(): Starting process PanGpHipMp.exe
Debug02/01/21 10:16:24:978 Got hip report in other process ready event.
<hip-report>
	<generate-time>02/01/2021 10:16:24</generate-time>

Debug 02/01/21 10:16:24:978 HipReportThread: got HIP report ready event.
Debug 02/01/21 10:16:24:979 HipReportThread: wait for network discover ready event.
Debug 02/01/21 10:16:25:127 HipReportThread: network type is unknown network.



 

Environment


  • 帕洛阿尔托Firewall或者Prisma AccessFirewall.
  • 支持的PAN-OS.
  • GlobalProtect 配置
  • HIP 检查启用。

 

Cause


Debug: 01/31/21 18:44:42:963 NetworkDiscoverThread: Discover external network.
Debug: 01/31/21 18:44:42:963 gateway 0 of us-east-g-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 gateway 1 of us-southeast-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 There is no gateway suitable to discovery
Debug: 02/01/21 10:09:58:418 --Set state to Connected
Debug: 02/01/21 10:09:58:540 Tunnel is created with the gateway us-southeast-customer.gw.gpcloudservice.com

Debug: 02/01/21 10:09:59:445 HipReportThread: network type is unknown network.
Debug: 02/01/21 10:09:59:447 HipReportThread: wait for HIP report ready event.
  • 上面的日志表明外部网络和网关的网络发现失败。 这 ”没有合适的网关" 表示配置有问题。
  • 进一步的HIP日志显示网络类型未知,表明HIP将不会发送报告。 如果设置为用户登录,请从门户配置或 PanGPS 日志中检查连接方法。
Info: 01/29/21 13:43:26:411 Connect method is user-logon

 

Resolution


  1. 当配置中列出的所有外部网关都在时,不能使用 connect 方法 user-logon仅手动模式(步骤 7 -7)。
  2. 这是配置错误:以下 2 个选项中的任何一个都有助于解决问题。
  • 配置按需连接方法。
  • 为网关设置一些优先级并删除仅手动模式。 (它们仍然可以用于手动连接,因此用户可以选择网关)

Additional Information


23 年 3 月 3 日(Vijay)- 文章由 Salman 更新并在外部发布。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCtOCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language