Cómo solucionar el error de conexión al servidor en la nube MLAV

Cómo solucionar el error de conexión al servidor en la nube MLAV

36299
Created On 08/14/24 17:52 PM - Last Modified 07/11/25 15:57 PM


Objective


  • Encuentre la razón detrás de la pérdida de conexión entre el firewall y el servidor en la nube MLAV.
  • Recupere la conexión entre el firewall y el servidor en la nube MLAV

Environment


  • Firewall de próxima generación
  • MLAV

Procedure


  1. Compruebe el estado de la conexión entre el cortafuegos y el servidor en la nube MLAV. Ejecute el comando: 
    > show mlav cloud-status
    Ejemplo de salida: 
    > show mlav cloud-status
MLAV cloud
Current cloud server:   ml.service.paloaltonetworks.com
Cloud connection:       disconnected
    En determinados escenarios, es posible que obtenga el siguiente resultado: 
    > show mlav cloud-status
Server error : device busy or unavailable
  2. Compruebe el estado de la conexión TCP entre el cortafuegos y el servidor en la nube MLAV:
    1. Verifique la ruta de servicio al servidor en la nube MLAV, es la misma que está configurada para "Servicios de Palo Alto Networks".
      1. Si se usa el valor predeterminado, significa que es la interfaz de administración y no es necesario agregar el parámetro "source" al comando en 2.b
      2. Si está configurado para ser una interfaz de plano de datos, agregue la dirección IP de esa interfaz como origen del ping.
    2. Utilice el comando ping para comprobar la accesibilidad de la red al servidor en la nube MLAV y para resolver la dirección IP de su FQDN:
      1. Para la ruta de servicio predeterminada o de administración a "Palo Alto Networks Services", utilice el comando: 
        ping host ml.service.paloaltonetworks.com
      2. Para la ruta de servicio de interfaz de plano de datos a "Palo Alto Networks Services", utilice el comando: 
        ping source <IP address of the dataplane interface configured as service route to PANW Services> host ml.service.paloaltonetworks.com
    3. Verifique el netstat usando la dirección IP resuelta: 
      show netstat numeric-hosts yes numeric-ports yes | match <IP address of the MLAV cloud server>
      Asegúrese de que ningún dispositivo entre la interfaz de firewall utilizada como ruta de servicio a los servicios PANW y el servidor en la nube MLAV esté bloqueando el puerto 443.
  3. Para obtener más información sobre la resolución de problemas, realice una captura de paquetes del tráfico entre la interfaz de firewall utilizada como ruta de servicio a los servicios PANW y el servidor en la nube MLAV. Compruebe también el devsrv.log buscar el mensaje de error relacionado con mlav. 
    less mp-log devsrv.log
     
  4. Problemas comunes y soluciones:
    1. Error de validación de certificado de servidor MLAV. Este problema puede ocurrir si hay un dispositivo que descifra el tráfico entre la interfaz de firewall utilizada como ruta de servicio a los servicios PANW y el servidor en la nube MLAV. Los mensajes devsrv.log se verán como se muestra a continuación: 
      2023-08-28 13:21:23.813 -0400 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1667): Failed to send metadata query
2023-08-28 13:36:23.882 -0400 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:187): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion]
2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:641): Error with certificate at depth: 2
2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:643): Basic Validation of x509 cert Fail ; Code : 20
2023-08-28 13:36:24.606 -0400 Error: verify_cb(pan_ssl_curl_utils.c:652): Failed to validate x509 cert from ctx: (20) unable to get local issuer certificate
2023-08-28 13:36:24.606 -0400 Error: pan_mlav_send_query(pan_mlav_cloud.c:1394): Failed to send req type[3], curl error: Peer certificate cannot be authenticated with given CA certificates
      En este caso, el registro del sistema mostrará el siguiente mensaje: 
      2023/08/08 16:07:21 high     tls            tls-X50 0   MLAV Server certificate validation failed. Dest Addr: ml.service.paloaltonetworks.com, Reason: unable to get local issuer certificate
      Resolución: Una de las soluciones es excluir *.paloaltonetworks.com del descifrado.
    2. Error de autenticación MLAV.Esto está relacionado con un problema de software que afecta solo a los firewalls que no tienen una licencia de prevención de amenazas y ejecutan la versión PAN-OS inferior a la 10.0.2. Tenga en cuenta que un firewall no requiere ninguna licencia para establecer una conexión exitosa con el servidor en la nube MLAV y que la función Antivirus basado en aprendizaje automático (MLAV) se introdujo con el lanzamiento de la versión 10.0.0 de PAN-OS. En este caso, los mensajes devsrv.log se verán como se muestra a continuación: 
      2020-08-12 15:37:02.062 +0800 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:183): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion] 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:538): Got HTTP resp code 400 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_resp_parser(pan_mlav_cloud.c:802): Server resp code[400], msglen[71], msg: invalid flatbuffer request: invalid content version (with build number) 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_send_query(pan_mlav_cloud.c:1301): Failed to parse type[3] response 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1555): Failed to send metadata query 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_check_model(pan_mlav_cloud.c:1793): Failed to get metadata from cloud 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_req_handler(pan_mlav_cloud.c:1915): meta download s_connection_tries [1] 2020-08-12 15:37:02.203 +0800 mlav force_reconnect is true
      En este caso, el registro del sistema mostrará el siguiente mensaje: 
      2020/07/24 20:59:32 high     general        general 0  MLAV: Authentication or Client Certificate failure.
      Resolución: Actualice su firewall a la versión PAN-OS recomendada actualmente.
    3. Error MLAV desconocido. En este caso, el registro del sistema mostrará el siguiente mensaje: 
      2022/09/22 20:30:01 medium   general        general 0  MLAV: Unknown error.
      Se requiere más investigación, en particular la verificación de la devsrv.log.
      1. Si devsrv.log muestra el siguiente mensaje: 
        2024-07-26 08:49:42.148 +0900 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 404
        Lo más probable es que el problema esté en el lado del servidor en la nube MLAV. Resolución: Póngase en contacto con el servicio de atención al cliente si el problema persiste.
      2. Si el devsrv.log muestra el siguiente mensaje: 
        2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 500
2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_resp_parser(pan_mlav_cloud.c:822): Server resp code[500], msglen[244], msg:
        Lo más probable es que el problema esté relacionado con el balanceador de cargas de Good Cloud Platform (GCP). Resolución: Póngase en contacto con el servicio de atención al cliente si el problema persiste.
    4. Error en la nube MLAV, todos los motores de aprendizaje automático se detuvieron. En este caso, el registro del sistema mostrará el siguiente mensaje: 
      2022/04/22 15:29:53 high     general        general 0  MLAV cloud error, all machine Learning engines stopped
      El devsrv.log mostrará el siguiente mensaje: 
      2022-04-26 07:32:59.061 -0500 Error:  pan_mlav_send_query(pan_mlav_cloud.c:1396): Failed to send req type[3], curl error: Couldn't resolve host name
      Resolución: Compruebe si el firewall está ejecutando una versión de PAN-OS afectada por PAN-229832.El problema se soluciona a partir de las versiones 10.1.14, 10.2.11, 11.0.5 y 11.1.3
 

Additional Information


NOTA IMPORTANTE:

Si reinicia el dispositivo-servidor utilizando el comando "debug software restart process device-server", deberá realizar una "fuerza de confirmación" para que el firewall se vuelva a conectar al servidor en la nube MLAV.

En algunos casos, el reinicio del servidor del dispositivo seguido de una fuerza de confirmación se puede utilizar para intentar una reconexión al servidor MLAV Cloud. Sin embargo, este proceso puede ser perjudicial, por lo que se recomienda utilizar este enfoque con precaución y, preferiblemente, durante un período de mantenimiento.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDuDCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language