So beheben Sie den Verbindungsfehler zum MLAV-Cloud-Server

• Finden Sie die Ursache für den Verbindungsverlust zwischen der Firewall und dem MLAV-Cloud-Server.
• Abrufen der Verbindung zwischen der Firewall und dem MLAV-Cloud-Server

• Firewall der nächsten Generation
• MLAV

1. Überprüfen Sie den Status der Verbindung zwischen der Firewall und dem MLAV-Cloud-Server. Führen Sie den Befehl:

   > show mlav cloud-status

   Beispielausgabe:

   > show mlav cloud-status
   MLAV cloud
   Current cloud server:   ml.service.paloaltonetworks.com
   Cloud connection:       disconnected

   In bestimmten Szenarien erhalten Sie möglicherweise die folgende Ausgabe:

   > show mlav cloud-status
   Server error : device busy or unavailable
   

2. Überprüfen Sie den TCP-Verbindungsstatus zwischen der Firewall und dem MLAV-Cloud-Server:
   1. Überprüfen Sie die Dienstroute zum MLAV-Cloud-Server, sie ist die gleiche wie für "Palo Alto Networks Services" konfiguriert.
      1. Wenn die Standardeinstellung verwendet wird, bedeutet dies, dass es sich um die Verwaltungsschnittstelle handelt und der Parameter "source" nicht zum Befehl in 2.b hinzugefügt werden muss
      2. Wenn es sich um eine Datenebenenschnittstelle handelt, fügen Sie die IP-Adresse dieser Schnittstelle als Quelle des Pings hinzu.
   2. Verwenden Sie den Befehl ping, um die Netzwerkerreichbarkeit zum MLAV-Cloud-Server zu überprüfen und die IP-Adresse seines FQDN aufzulösen:
      1. Verwenden Sie für die Route des Standard - oder Verwaltungsdienstes zu "Palo Alto Networks Services" den folgenden Befehl:

         ping host ml.service.paloaltonetworks.com
         

      2. Verwenden Sie für die Route des Datenebenenschnittstellendienstes zu "Palo Alto Networks Services" den folgenden Befehl:

         ping source <IP address of the dataplane interface configured as service route to PANW Services> host ml.service.paloaltonetworks.com

   3. Überprüfen Sie netstat mit der aufgelösten IP-Adresse:

      show netstat numeric-hosts yes numeric-ports yes | match <IP address of the MLAV cloud server>

      Stellen Sie sicher, dass kein Gerät zwischen der Firewall-Schnittstelle, die als Dienstroute zu PANW Services verwendet wird, und dem MLAV-Cloud-Server Port 443 blockiert.
3. Führen Sie zur weiteren Fehlerbehebung eine Paketerfassung des Datenverkehrs zwischen der Firewall-Schnittstelle, die als Dienstroute zu PANW Services verwendet wird, und dem MLAV-Cloud-Server durch. Überprüfen Sie auch die devsrv.log suchen Sie nach Fehlermeldung im Zusammenhang mit mlav.

   less mp-log devsrv.log

    
4. Häufige Probleme und Lösungen:
   1. Fehler bei der Validierung des MLAV-Serverzertifikats. Dieses Problem kann auftreten, wenn ein Gerät den Datenverkehr zwischen der Firewall-Schnittstelle, die als Dienstroute zu PANW Services verwendet wird, und dem MLAV-Cloud-Server entschlüsselt. Die devsrv.log Nachrichten sehen wie folgt aus:

      2023-08-28 13:21:23.813 -0400 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1667): Failed to send metadata query
      2023-08-28 13:36:23.882 -0400 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:187): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion]
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:641): Error with certificate at depth: 2
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:643): Basic Validation of x509 cert Fail ; Code : 20
      2023-08-28 13:36:24.606 -0400 Error: verify_cb(pan_ssl_curl_utils.c:652): Failed to validate x509 cert from ctx: (20) unable to get local issuer certificate
      2023-08-28 13:36:24.606 -0400 Error: pan_mlav_send_query(pan_mlav_cloud.c:1394): Failed to send req type[3], curl error: Peer certificate cannot be authenticated with given CA certificates

      In diesem Fall wird im Systemprotokoll die folgende Meldung angezeigt:

      2023/08/08 16:07:21 high     tls            tls-X50 0   MLAV Server certificate validation failed. Dest Addr: ml.service.paloaltonetworks.com, Reason: unable to get local issuer certificate

      Auflösung: Eine der Lösungen besteht darin, *.paloaltonetworks.com von der Entschlüsselung auszuschließen.
   2. Fehler bei der MLAV-Authentifizierung.Dies hängt mit einem Softwareproblem zusammen, das nur die Firewalls betrifft, die nicht über eine Threat Prevention-Lizenz verfügen und PAN-OS-Version kleiner als 10.0.2 ausführen. Beachten Sie, dass für eine Firewall keine Lizenz erforderlich ist, um eine erfolgreiche Verbindung zum MLAV-Cloud-Server herzustellen, und dass die Funktion Machine Learning-based Antivirus (MLAV) mit der Veröffentlichung von PAN-OS-Version 10.0.0 eingeführt wurde. In diesem Fall sehen die devsrv.log Nachrichten wie folgt aus:

      2020-08-12 15:37:02.062 +0800 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:183): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion] 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:538): Got HTTP resp code 400 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_resp_parser(pan_mlav_cloud.c:802): Server resp code[400], msglen[71], msg: invalid flatbuffer request: invalid content version (with build number) 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_send_query(pan_mlav_cloud.c:1301): Failed to parse type[3] response 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1555): Failed to send metadata query 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_check_model(pan_mlav_cloud.c:1793): Failed to get metadata from cloud 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_req_handler(pan_mlav_cloud.c:1915): meta download s_connection_tries [1] 2020-08-12 15:37:02.203 +0800 mlav force_reconnect is true

      In diesem Fall wird im Systemprotokoll die folgende Meldung angezeigt:

      2020/07/24 20:59:32 high     general        general 0  MLAV: Authentication or Client Certificate failure.

      Auflösung: Aktualisieren Sie Ihre Firewall auf die aktuell empfohlene PAN-OS-Version.
   3. MLAV unbekannter Fehler. In diesem Fall wird im Systemprotokoll die folgende Meldung angezeigt:

      2022/09/22 20:30:01 medium   general        general 0  MLAV: Unknown error.

      Weitere Untersuchungen, insbesondere die Überprüfung der devsrv.log, sind erforderlich.
      1. Wenn devsrv.log die folgende Meldung anzeigt:

         2024-07-26 08:49:42.148 +0900 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 404

         Das Problem liegt höchstwahrscheinlich auf der Seite des MLAV-Cloud-Servers. Auflösung: Wenden Sie sich an den Kundensupport, wenn das Problem weiterhin besteht.
      2. Wenn im devsrv.log die folgende Meldung angezeigt wird:

         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 500
         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_resp_parser(pan_mlav_cloud.c:822): Server resp code[500], msglen[244], msg:

         Das Problem hängt höchstwahrscheinlich mit dem Load Balancer der Good Cloud Platform (GCP) zusammen. Auflösung: Wenden Sie sich an den Kundensupport, wenn das Problem weiterhin besteht.
   4. MLAV-Cloud-Fehler, alle Machine Learning-Engines wurden gestoppt. In diesem Fall wird im Systemprotokoll die folgende Meldung angezeigt:

      2022/04/22 15:29:53 high     general        general 0  MLAV cloud error, all machine Learning engines stopped

      Die devsrv.log zeigt die folgende Meldung an:

      2022-04-26 07:32:59.061 -0500 Error:  pan_mlav_send_query(pan_mlav_cloud.c:1396): Failed to send req type[3], curl error: Couldn't resolve host name

      Auflösung: Überprüfen Sie, ob auf der Firewall eine PAN-OS-Version ausgeführt wird, die von PAN-229832 betroffen ist.Das Problem wurde ab Version 10.1.14, 10.2.11, 11.0.5 und 11.1.3 behoben

WICHTIGER HINWEIS:

Wenn Sie den Geräteserver mit dem Befehl "debug software restart process device-server" neu starten, müssen Sie eine "Commit-Force" ausführen, damit die Firewall wieder eine Verbindung zum MLAV-Cloud-Server herstellt.

In einigen Fällen kann ein Neustart des Geräteservers gefolgt von einer Commit-Erzwingung verwendet werden, um eine Wiederherstellung der Verbindung zum MLAV Cloud-Server zu versuchen. Dieser Prozess kann jedoch störend sein, daher wird empfohlen, diesen Ansatz mit Vorsicht und vorzugsweise während eines Wartungsfensters zu verwenden.