如何排查与 MLAV 云服务器的连接失败问题

如何排查与 MLAV 云服务器的连接失败问题

32898
Created On 08/14/24 17:52 PM - Last Modified 07/11/25 15:57 PM


Objective


  • 找出防火墙与 MLAV 云服务器之间连接丢失的原因。
  • 检索防火墙与 MLAV 云服务器之间的连接

Environment


  • 下一代防火墙
  • MLAV

Procedure


  1. 检查防火墙和 MLAV 云服务器之间的连接状态。 运行命令︰ 
    > show mlav cloud-status
    示例输出: 
    > show mlav cloud-status
MLAV cloud
Current cloud server:   ml.service.paloaltonetworks.com
Cloud connection:       disconnected
    在某些情况下,您可能会得到以下输出: 
    > show mlav cloud-status
Server error : device busy or unavailable
  2. 检查防火墙和 MLAV 云服务器之间的 TCP 连接状态:
    1. 检查到 MLAV 云服务器的服务路由,它与为“Palo Alto Networks Services”配置的路由相同。
      1. 如果使用 默认值 ,则表示它是 管理界面 ,无需在 2.b 中的命令中添加参数 “source”
      2. 如果它配置为数据平面接口,则添加该接口的 IP 地址作为 ping 的源。
    2. 使用 ping 命令检查到 MLAV 云服务器的网络可访问性,并解析其 FQDN 的 IP 地址:
      1. 对于到“Palo Alto Networks Services” 的默认管理 服务路由,请使用以下命令: 
        ping host ml.service.paloaltonetworks.com
      2. 对于到“Palo Alto Networks Services”的数据平面接口服务路由,请使用以下命令: 
        ping source <IP address of the dataplane interface configured as service route to PANW Services> host ml.service.paloaltonetworks.com
    3. 使用解析的 IP 地址检查 netstat: 
      show netstat numeric-hosts yes numeric-ports yes | match <IP address of the MLAV cloud server>
      确保用作 PANW 服务服务路由的防火墙接口与 MLAV 云服务器之间的设备均未阻止端口 443。
  3. 要进一步排除故障,请对用作 PANW 服务服务路由的防火墙接口与 MLAV 云服务器之间的流量执行数据包捕获。 还要检查 devsrv.log 查找与 mlav 相关的错误消息。 
    less mp-log devsrv.log
     
  4. 常见问题和解决方法:
    1. MLAV 服务器证书验证错误。 如果有设备解密用作 PANW 服务服务路由的防火墙接口与 MLAV 云服务器之间的流量,则可能会出现此问题。 devsrv.log消息将如下所示: 
      2023-08-28 13:21:23.813 -0400 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1667): Failed to send metadata query
2023-08-28 13:36:23.882 -0400 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:187): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion]
2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:641): Error with certificate at depth: 2
2023-08-28 13:36:24.605 -0400 Error: verify_cb(pan_ssl_curl_utils.c:643): Basic Validation of x509 cert Fail ; Code : 20
2023-08-28 13:36:24.606 -0400 Error: verify_cb(pan_ssl_curl_utils.c:652): Failed to validate x509 cert from ctx: (20) unable to get local issuer certificate
2023-08-28 13:36:24.606 -0400 Error: pan_mlav_send_query(pan_mlav_cloud.c:1394): Failed to send req type[3], curl error: Peer certificate cannot be authenticated with given CA certificates
      在这种情况下,系统日志将显示以下消息: 
      2023/08/08 16:07:21 high     tls            tls-X50 0   MLAV Server certificate validation failed. Dest Addr: ml.service.paloaltonetworks.com, Reason: unable to get local issuer certificate
      分辨率:其中一种解决方案是从解密中排除 *.paloaltonetworks.com。
    2. MLAV 身份验证失败。这与一个软件问题有关,该问题仅影响没有威胁防护许可证且运行的 PAN-OS 版本低于 10.0.2 的防火墙。 请注意,防火墙不需要任何许可证即可成功建立与 MLAV 云服务器的连接,并且基于机器学习的防病毒 (MLAV) 功能是在 PAN-OS 版本 10.0.0 的发布中引入的。 在这种情况下,devsrv.log消息将如下所示: 
      2020-08-12 15:37:02.062 +0800 Error: pan_mlav_get_ver_from_file(pan_mlav_cloud.c:183): Failed to open file[/opt/pancfg/mgmt/content/pan_threatversion] 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:538): Got HTTP resp code 400 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_resp_parser(pan_mlav_cloud.c:802): Server resp code[400], msglen[71], msg: invalid flatbuffer request: invalid content version (with build number) 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_send_query(pan_mlav_cloud.c:1301): Failed to parse type[3] response 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_get_metadata(pan_mlav_cloud.c:1555): Failed to send metadata query 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_check_model(pan_mlav_cloud.c:1793): Failed to get metadata from cloud 2020-08-12 15:37:02.203 +0800 Error: pan_mlav_req_handler(pan_mlav_cloud.c:1915): meta download s_connection_tries [1] 2020-08-12 15:37:02.203 +0800 mlav force_reconnect is true
      在这种情况下,系统日志将显示以下消息: 
      2020/07/24 20:59:32 high     general        general 0  MLAV: Authentication or Client Certificate failure.
      分辨率:将防火墙升级到当前建议的 PAN-OS 版本。
    3. MLAV 未知错误。 在这种情况下,系统日志将显示以下消息: 
      2022/09/22 20:30:01 medium   general        general 0  MLAV: Unknown error.
      需要进一步调查,特别是检查 devsrv.log
      1. 如果 devsrv.log 显示以下消息: 
        2024-07-26 08:49:42.148 +0900 Error: pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 404
        问题很可能发生在 MLAV 云服务器端。 分辨率: 如果问题仍然存在,请联系客户支持。
      2. 如果 devsrv.log 显示以下消息: 
        2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_process_http_resp_code(pan_mlav_cloud.c:558): Got HTTP resp code 500
2022-09-22 20:30:02.513 +0900 Error:  pan_mlav_resp_parser(pan_mlav_cloud.c:822): Server resp code[500], msglen[244], msg:
        此问题很可能与 Good Cloud Platform (GCP) 负载均衡器有关。 分辨率:如果问题仍然存在,请联系客户支持。
    4. MLAV 云错误,所有机器学习引擎都已停止。 在这种情况下,系统日志将显示以下消息: 
      2022/04/22 15:29:53 high     general        general 0  MLAV cloud error, all machine Learning engines stopped
      devsrv.log将显示以下消息: 
      2022-04-26 07:32:59.061 -0500 Error:  pan_mlav_send_query(pan_mlav_cloud.c:1396): Failed to send req type[3], curl error: Couldn't resolve host name
      分辨率: 检查防火墙是否正在运行受 PAN-229832 影响的 PAN-OS 版本。此问题从版本 10.1.14、10.2.11、11.0.5 和 11.1.3 开始修复
 

Additional Information


重要提示:

如果使用命令“debug software restart process device-server”重新启动设备服务器,则需要执行“提交强制”,以便防火墙重新连接到 MLAV 云服务器。

在某些情况下,重新启动 device-server 后跟提交强制可用于尝试重新连接到 MLAV Cloud 服务器。 但是,此过程可能会造成中断,因此建议谨慎使用此方法,最好在维护时段内使用。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDuDCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language