Die Firewall stoppt das Senden von Protokollen an SLS und der Speicherverbrauch des Logrcvr-Prozesses steigt langsam bis zum OOM-Zustand

Die Firewall stoppt das Senden von Protokollen an SLS und der Speicherverbrauch des Logrcvr-Prozesses steigt langsam bis zum OOM-Zustand

6295
Created On 12/19/24 09:38 AM - Last Modified 06/12/25 03:40 AM


Symptom


  • Der Logrcvr-Prozess wächst aufgrund von OOM langsam bis zum Neustart
  • Fehlende Protokolle auf SLS oder Protokolle werden von der Firewall überhaupt nicht gesendet.

Environment


  • NGFW 5200-Serie.
  • PAN-OS niedriger als 10.2.14 oder 11.1.8.
  • Andere Plattformen könnten betroffen sein.

Cause


Der Logrcvr-Prozess wurde aufgrund eines Problems mit der Warteschlange der Komprimierungsaufgabe träge: Diese blieb beim Versuch hängen, Protokollblöcke in der falschen Reihenfolge zu verarbeiten. Dies führte zu einem ständigen Rückstand und führte dazu, dass der Logrcvr-Prozess mit der Zeit erheblich an Größe zunahm und Protokolle aufgrund von Puffererschöpfung verloren gingen.

Resolution


  • Für eine dauerhafte Lösung aktualisieren Sie auf PAN-OS Version 10.2.14 oder 11.1.8, sofern verfügbar.
  • Als Workaround können Sie den Logrcvr-Prozess von Zeit zu Zeit über die CLI neu starten, um die Protokollrückstände zu löschen und OOM zu vermeiden.
debug software restart process log-receiver

Additional Information


Überprüfen Sie in der CLI die folgenden Protokolle, um sicherzustellen, dass bestimmte Protokolle nicht an SLS oder den Protokollsammler gesendet werden:

> less mp-log lorcvr.log:

2024-09-26 18:57:52.217 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:53.474 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:55.174 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:56.633 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq

> debug log-receiver queue-stats


Logging statistics
------------------------------ -----------
Log incoming rate:             0/sec
Log written rate:              7504/sec
Logs discarded (queue full):   2439074 741
Ring buffer entries:           32768/32768 <<<<<< Ring buffer exhausted

> less mp-log mp-monitor.log - Look for the following log and review if it is growing:

Logs discarded (queue full):   2232890188

Logs discarded (queue full):   2303086554

Überprüfen Sie in der CLI die MP-Monitor-Protokolle, um den langsamen Anstieg des Speicherverbrauchs zu bestätigen:

less mp-log mp-monitor.log.4 - The oldest one:
logrcvr              20957               0 kB      6967752 kB      9595032 kB      7239260 kB

-------------
less mp-log mp-monitor.log - The newest one:
logrcvr              20957               0 kB      7517344 kB     10063024 kB      7808804 kB
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpQzCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language