El firewall deja de enviar registros a SLS y el consumo de memoria del proceso logrcvr crece lentamente hasta la condición OOM

El firewall deja de enviar registros a SLS y el consumo de memoria del proceso logrcvr crece lentamente hasta la condición OOM

8191
Created On 12/19/24 09:38 AM - Last Modified 06/12/25 03:40 AM


Symptom


  • El proceso Logrcvr crece lentamente hasta que se reinicia debido a OOM
  • Faltan registros en SLS o el cortafuegos no envía los registros en absoluto.

Environment


  • Serie NGFW 5200.
  • PAN-OS inferior a 10.2.14 o 11.1.8.
  • Otras plataformas podrían verse afectadas.

Cause


El proceso logrcvr se estaba volviendo lento debido a un problema con la cola de tareas de compresión, que estaba bloqueada al intentar procesar bloques de registro en un orden incorrecto, lo que generaba un retraso perpetuo y provocaba que el proceso logrcvr creciera significativamente en tamaño con el tiempo y produjera registros perdidos debido al agotamiento del búfer.

Resolution


  • Para una solución permanente, actualice a la versión 10.2.14 o 11.1.8 de PAN-OS cuando esté disponible.
  • Como solución alternativa, reinicie el proceso logrcvr usando CLI de vez en cuando para borrar los registros atrasados ​​y evitar el OOM.
debug software restart process log-receiver

Additional Information


En CLI, revise los siguientes registros para confirmar que ciertos registros no se están enviando a SLS o al recopilador de registros:

> less mp-log lorcvr.log:

2024-09-26 18:57:52.217 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:53.474 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:55.174 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq
2024-09-26 18:57:56.633 +0200 Error:  pan_logrcvr_enqueue_dp_block(pan_log_receiver.c:10208): Error submitting task for rb_taskq

> debug log-receiver queue-stats


Logging statistics
------------------------------ -----------
Log incoming rate:             0/sec
Log written rate:              7504/sec
Logs discarded (queue full):   2439074 741
Ring buffer entries:           32768/32768 <<<<<< Ring buffer exhausted

> less mp-log mp-monitor.log - Look for the following log and review if it is growing:

Logs discarded (queue full):   2232890188

Logs discarded (queue full):   2303086554

En CLI, revise los registros de mp-monitor para confirmar que el consumo de memoria aumenta lentamente:

less mp-log mp-monitor.log.4 - The oldest one:
logrcvr              20957               0 kB      6967752 kB      9595032 kB      7239260 kB

-------------
less mp-log mp-monitor.log - The newest one:
logrcvr              20957               0 kB      7517344 kB     10063024 kB      7808804 kB
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpQzCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language