Comment résoudre l’échec de la connexion au serveur cloud MLAV

• Trouvez la raison de la perte de connexion entre le pare-feu et le serveur cloud MLAV.
• Récupérer la connexion entre le firewall et le serveur cloud MLAV

• Pare-feu nouvelle génération
• MLAV

1. Vérifiez l’état de la connexion entre le pare-feu et le serveur cloud MLAV. Exécutez la commande :

   > show mlav cloud-status

   Exemple de sortie:

   > show mlav cloud-status
   MLAV cloud
   Current cloud server:   ml.service.paloaltonetworks.com
   Cloud connection:       disconnected

   Dans certains scénarios, vous pouvez obtenir le résultat suivant :

   > show mlav cloud-status
   Server error : device busy or unavailable
   

2. Vérifiez l’état de la connexion TCP entre le pare-feu et le serveur cloud MLAV :
   1. Vérifiez l’itinéraire du service vers le serveur cloud MLAV, il est le même que celui configuré pour « Palo Alto Networks Services ».
      1. Si la valeur par défaut est utilisée, cela signifie qu’il s’agit de l’interface de gestion et qu’il n’est pas nécessaire d’ajouter le paramètre « source » à la commande en 2.b
      2. S’il est configuré pour être une interface de plan de données, ajoutez l’adresse IP de cette interface comme source du ping.
   2. Utilisez la commande ping pour vérifier l’accessibilité du réseau au serveur cloud MLAV et pour résoudre l’adresse IP de son nom de domaine complet :
      1. Pour le service par défaut ou de gestion vers « Palo Alto Networks Services », utilisez la commande :

         ping host ml.service.paloaltonetworks.com
         

      2. Pour l’itinéraire du service d’interface de plan de données vers « Palo Alto Networks Services », utilisez la commande :

         ping source <IP address of the dataplane interface configured as service route to PANW Services> host ml.service.paloaltonetworks.com

   3. Vérifiez le netstat à l’aide de l’adresse IP résolue :

      show netstat numeric-hosts yes numeric-ports yes | match <IP address of the MLAV cloud server>

      Assurez-vous qu’aucun périphérique entre l’interface de pare-feu utilisée comme route de service vers les services PANW et le serveur cloud MLAV ne bloque le port 443.
3. Pour un dépannage plus approfondi, effectuez une capture de paquets du trafic entre l’interface de pare-feu utilisée comme itinéraire de service vers les services PANW et le serveur cloud MLAV. Vérifiez également le devsrv.log rechercher le message d’erreur lié à mlav.

   less mp-log devsrv.log

    
4. Problèmes courants et résolutions :
   1. Erreur de validation du certificat de serveur MLAV. Ce problème peut se produire s’il existe un périphérique déchiffrant le trafic entre l’interface de pare-feu utilisée comme itinéraire de service vers les services PANW et le serveur cloud MLAV. Les messages devsrv.log se présenteront comme suit :

      2023-08-28 13:21:23.813 -0400 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1667): Failed to send metadata query
      2023-08-28 13:36:23.882 -0400 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:187): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion]
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:641): Error with certificate at depth: 2
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:643): Basic Validation of x509 cert Fail ; Code : 20
      2023-08-28 13:36:24.606 -0400 Error: verify_cb(pan_ssl_curl_utils.c:652): Failed to validate x509 cert from ctx: (20) unable to get local issuer certificate
      2023-08-28 13:36:24.606 -0400 Error: pan_mlav_send_query(pan_mlav_cloud.c:1394): Failed to send req type[3], curl error: Peer certificate cannot be authenticated with given CA certificates

      Dans ce cas, le journal système affichera le message ci-dessous :

      2023/08/08 16:07:21 high     tls            tls-X50 0   MLAV Server certificate validation failed. Dest Addr: ml.service.paloaltonetworks.com, Reason: unable to get local issuer certificate

      Résolution: L’une des solutions consiste à exclure *.paloaltonetworks.com du déchiffrement.
   2. Échec de l’authentification MLAV.Il s’agit d’un problème logiciel qui affecte uniquement les pare-feu qui ne disposent pas d’une licence de prévention des menaces et qui exécutent la version PAN-OS antérieure à la version 10.0.2. Notez qu’un pare-feu ne nécessite aucune licence pour établir une connexion réussie au serveur cloud MLAV et que la fonctionnalité MLAV (Machine Learning-based Antivirus) a été introduite avec la sortie de la version 10.0.0 de PAN-OS. Dans ce cas, les messages devsrv.log ressembleront à ce qui suit :

      2020-08-12 15:37:02.062 +0800 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:183): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion] 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:538): Got HTTP resp code 400 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_resp_parser(pan_mlav_cloud.c:802): Server resp code[400], msglen[71], msg: invalid flatbuffer request: invalid content version (with build number) 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_send_query(pan_mlav_cloud.c:1301): Failed to parse type[3] response 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1555): Failed to send metadata query 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_check_model(pan_mlav_cloud.c:1793): Failed to get metadata from cloud 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_req_handler(pan_mlav_cloud.c:1915): meta download s_connection_tries [1] 2020-08-12 15:37:02.203 +0800 mlav force_reconnect is true

      Dans ce cas, le journal système affichera le message ci-dessous :

      2020/07/24 20:59:32 high     general        general 0  MLAV: Authentication or Client Certificate failure.

      Résolution: Mettez à niveau votre pare-feu vers la version PAN-OS actuellement recommandée.
   3. Erreur MLAV inconnue. Dans ce cas, le journal système affichera le message ci-dessous :

      2022/09/22 20:30:01 medium   general        general 0  MLAV: Unknown error.

      Une enquête plus approfondie est nécessaire, en particulier la vérification de l’devsrv.log.
      1. Si devsrv.log affiche le message ci-dessous :

         2024-07-26 08:49:42.148 +0900 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 404

         Le problème se situe probablement du côté du serveur cloud MLAV. Résolution: Contactez le service client si le problème persiste.
      2. Si le devsrv.log affiche le message ci-dessous :

         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 500
         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_resp_parser(pan_mlav_cloud.c:822): Server resp code[500], msglen[244], msg:

         Le problème est probablement lié à l’équilibreur de charge Good Cloud Platform (GCP). Résolution: Contactez le service client si le problème persiste.
   4. Erreur de cloud MLAV, tous les moteurs de machine Learning se sont arrêtés. Dans ce cas, le journal système affichera le message ci-dessous :

      2022/04/22 15:29:53 high     general        general 0  MLAV cloud error, all machine Learning engines stopped

      Le devsrv.log s’affichera ci-dessous : Message :

      2022-04-26 07:32:59.061 -0500 Error:  pan_mlav_send_query(pan_mlav_cloud.c:1396): Failed to send req type[3], curl error: Couldn't resolve host name

      Résolution: Vérifiez si le pare-feu exécute une version de PAN-OS affectée par PAN-229832.Le problème est résolu à partir des versions 10.1.14, 10.2.11, 11.0.5 et 11.1.3

NOTE IMPORTANTE :

Si vous redémarrez le serveur de périphériques à l'aide de la commande « debug software restart process device-server », vous devrez effectuer une « force de validation » pour que le pare-feu se reconnecte au serveur cloud MLAV.

Dans certains cas, le redémarrage du serveur de périphériques suivi d’une force de validation peut être utilisé pour tenter une reconnexion au serveur MLAV Cloud. Cependant, ce processus peut être perturbateur, il est donc recommandé d’utiliser cette approche avec prudence et de préférence pendant une fenêtre de maintenance.