MLAVクラウドサーバーへの接続障害をトラブルシューティングする方法

• ファイアウォールとMLAVクラウドサーバー間の接続が失われている理由を見つけます。
• ファイアウォールとMLAVクラウドサーバー間の接続を取得します

• 次世代ファイアウォール
• MLAVの

1. ファイアウォールとMLAVクラウドサーバー間の接続ステータスを確認します。 コマンドを実行します。

   > show mlav cloud-status

   出力例:

   > show mlav cloud-status
   MLAV cloud
   Current cloud server:   ml.service.paloaltonetworks.com
   Cloud connection:       disconnected

   特定のシナリオでは、次の出力が表示される場合があります。

   > show mlav cloud-status
   Server error : device busy or unavailable
   

2. ファイアウォールとMLAVクラウドサーバー間のTCP接続ステータスを確認します。
   1. MLAVクラウドサーバーへのサービスルートを確認すると、「Palo Alto Networks Services」に設定されているものと同じです。
      1. デフォルトが使用されている場合は、管理インターフェイスであり、2.b のコマンドにパラメータ「source」を追加する必要はありません
      2. データプレーン インターフェイスとして設定されている場合は、そのインターフェイスの IP アドレスを ping の送信元として追加します。
   2. ping コマンドを使用して、MLAV クラウド サーバーへのネットワーク到達可能性を確認し、その FQDN の IP アドレスを解決します。
      1. 「Palo Alto Networks Services」への デフォルト または 管理 サービスルートの場合は、次のコマンドを使用します。

         ping host ml.service.paloaltonetworks.com
         

      2. 「Palo Alto Networks Services」へのデータプレーン インターフェイス サービス ルートの場合は、次のコマンドを使用します。

         ping source <IP address of the dataplane interface configured as service route to PANW Services> host ml.service.paloaltonetworks.com

   3. 解決されたIPアドレスを使用してnetstatを確認します。

      show netstat numeric-hosts yes numeric-ports yes | match <IP address of the MLAV cloud server>

      PANW サービスへのサービス ルートとして使用されるファイアウォール インターフェイスと MLAV クラウド サーバの間のデバイスがポート 443 をブロックしていないことを確認します。
3. さらにトラブルシューティングを行うには、PANW サービスへのサービスルートとして使用されるファイアウォールインターフェイスと MLAV クラウドサーバ間のトラフィックのパケットキャプチャを実行します。 また、 devsrv.log で mlav に関連するエラーメッセージを探します。

   less mp-log devsrv.log

    
4. 一般的な問題と解決策:
   1. MLAV サーバー証明書の検証エラーです。 この問題は、PANW サービスへのサービス ルートとして使用されるファイアウォール インターフェイスと MLAV クラウド サーバ間のトラフィックを復号化するデバイスがある場合に発生する可能性があります。 devsrv.logメッセージは次のようになります。

      2023-08-28 13:21:23.813 -0400 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1667): Failed to send metadata query
      2023-08-28 13:36:23.882 -0400 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:187): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion]
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:641): Error with certificate at depth: 2
      2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:643): Basic Validation of x509 cert Fail ; Code : 20
      2023-08-28 13:36:24.606 -0400 Error: verify_cb(pan_ssl_curl_utils.c:652): Failed to validate x509 cert from ctx: (20) unable to get local issuer certificate
      2023-08-28 13:36:24.606 -0400 Error: pan_mlav_send_query(pan_mlav_cloud.c:1394): Failed to send req type[3], curl error: Peer certificate cannot be authenticated with given CA certificates

      この場合、システムログには次のメッセージが表示されます。

      2023/08/08 16:07:21 high     tls            tls-X50 0   MLAV Server certificate validation failed. Dest Addr: ml.service.paloaltonetworks.com, Reason: unable to get local issuer certificate

      解決：解決策の 1 つは、*.paloaltonetworks.com を復号化から除外することです。
   2. MLAV 認証の失敗。これは、脅威防御ライセンスがなく、10.0.2 より前の PAN-OS バージョンを実行しているファイアウォールにのみ影響するソフトウェアの問題に関連しています。 ファイアウォールは、MLAV クラウド サーバーへの正常な接続を確立するためにライセンスを必要とせず、機械学習ベースのアンチウイルス (MLAV) 機能は PAN-OS バージョン 10.0.0 のリリースで導入されたことに注意してください。 この場合、devsrv.logメッセージは次のようになります。

      2020-08-12 15:37:02.062 +0800 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:183): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion] 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:538): Got HTTP resp code 400 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_resp_parser(pan_mlav_cloud.c:802): Server resp code[400], msglen[71], msg: invalid flatbuffer request: invalid content version (with build number) 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_send_query(pan_mlav_cloud.c:1301): Failed to parse type[3] response 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1555): Failed to send metadata query 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_check_model(pan_mlav_cloud.c:1793): Failed to get metadata from cloud 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_req_handler(pan_mlav_cloud.c:1915): meta download s_connection_tries [1] 2020-08-12 15:37:02.203 +0800 mlav force_reconnect is true

      この場合、システムログには次のメッセージが表示されます。

      2020/07/24 20:59:32 high     general        general 0  MLAV: Authentication or Client Certificate failure.

      解決：ファイアウォールを現在推奨されている PAN-OS リリースにアップグレードします。
   3. MLAV の不明なエラー。 この場合、システムログには次のメッセージが表示されます。

      2022/09/22 20:30:01 medium   general        general 0  MLAV: Unknown error.

      さらなる調査、特に devsrv.logの確認が必要です。
      1. devsrv.log以下のメッセージが表示された場合:

         2024-07-26 08:49:42.148 +0900 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 404

         問題は、MLAVクラウドサーバー側にある可能性が最も高いです。 解決： 問題が解決しない場合は、カスタマーサポートに連絡してください。
      2. devsrv.logに以下のメッセージが表示された場合:

         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 500
         2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_resp_parser(pan_mlav_cloud.c:822): Server resp code[500], msglen[244], msg:

         この問題は、Good Cloud Platform(GCP)ロードバランサに関連している可能性が最も高いです。 解決：問題が解決しない場合は、カスタマーサポートに連絡してください。
   4. MLAVクラウドエラー、すべての機械学習エンジンが停止しました。 この場合、システムログには次のメッセージが表示されます。

      2022/04/22 15:29:53 high     general        general 0  MLAV cloud error, all machine Learning engines stopped

      devsrv.logに次のメッセージが表示されます。

      2022-04-26 07:32:59.061 -0500 Error:  pan_mlav_send_query(pan_mlav_cloud.c:1396): Failed to send req type[3], curl error: Couldn't resolve host name

      解決： ファイアウォールが PAN-229832 の影響を受ける PAN-OS バージョンを実行しているかどうかを確認します。この問題は、バージョン 10.1.14、10.2.11、11.0.5、および 11.1.3 以降で修正されています

重要な注意:

「debug software restart process device-server」コマンドを使用してデバイスサーバーを再起動する場合は、ファイアウォールがMLAVクラウドサーバーに再接続するために「コミットフォース」を実行する必要があります。

場合によっては、device-server を再起動してから commit force を使用して、MLAV Cloud サーバーへの再接続を試みることができます。 ただし、このプロセスは混乱を招く可能性があるため、このアプローチは注意して、できればメンテナンス期間中に使用することをお勧めします。