URLキャッシュ処理の増加による高DP CPUの問題を軽減する方法
10805
Created On 05/31/23 22:21 PM - Last Modified 11/15/23 18:13 PM
Objective
URL キャッシュ処理の増加による高 DP CPU の問題を軽減するため。 DP CPU が高いこの根本原因は、DP CPU の増加が、「debug dataplane pow performance」の出力に見られる最後のサンプリング サイクルにおけるこの関数の合計処理時間(マイクロ秒 μs 単位)を表す urlcache_lookup 関数の total-us 値の増加と一致することに気付いたことによって決定されます。
Environment
- パロアルトファイアウォール
- DPのCPU
- URL の分類
Procedure
- 高DP CPUとパケット記述子(オンチップ)が次の出力に表示されるかどうかを確認します。
show running resource-monitor <minute/hour/second> last <time>
- URLキャッシュルックアップの処理時間が長くなっているかどうかを確認します。
debug dataplane pow performance | match "func\|urlcache_lookup"
total-us または max-us 値の出力にスパイクがないか調べます。 - グローバルカウンタ「url_request_pkt_drop」でも次の出力が増加しているかどうかを確認します。
show counter global | match url_request_pkt_drop
- [MONITOR > Logs] で URL フィルタリング ログを照会します ((category eq not-resolved) または (category eq unknown)) > URL フィルタリング これは、特定のドメインが問題を引き起こしているかどうかを見つけるのに役立ちます。
- URL カテゴリが未解決または不明のドメインが見つかった場合は、そのドメインに対して次の CLI コマンドを実行します。
test url-info-host <domain name>
をクリックして、MP URL データベースを照会します。show running url-info <domain name>
をクリックして、DP URL データベースを照会します。 - これが内部の信頼されたドメインである場合は、このドメインのホスト、IP、または FQDN に送信されるすべての信頼できるトラフィックに対するアプリケーション オーバーライド ポリシーの構成を検討してください(app-override ではすべてのセキュリティ インスペクションが無効になることに注意してください)。
- その特定のドメインからMPおよびDPキャッシュをクリアします。
- そのドメインの MP キャッシュを削除するには、CLI コマンドを実行します。
delete url-database url <url>
- そのドメインのDPキャッシュを削除するには、CLIコマンドを実行します。
clear url-cache url <url>
- そのドメインの MP キャッシュを削除するには、CLI コマンドを実行します。
- サポートチケットを開く必要がある場合は、以下のコマンドの出力をケースコメントに3〜5回(キャッシュをクリアする前に)貼り付けます。
show running url-cache statistics show running url-info <domain name> test url-info-host <domain name> debug dataplane pow performance | match "func\|urlcache_lookup"
- URL カテゴリが未解決または不明のドメインが見つかった場合は、そのドメインに対して次の CLI コマンドを実行します。
をクリックし、テクニカルサポートファイルを生成し てチケットに添付します。
- ファームウェアが 11.0.0、10.2.4、10.1.9、-ERR:REF-NOT-FOUND-10.1.8-h3 より前の PAN-OS バージョンを実行している場合は、FW をこれらの PAN-OS バージョンまたは次の既知の問題が修正された上位バージョンにアップグレードします。
- PAN-174953 ファイアウォールが管理プレーンからデータプレーン キャッシュに URL カテゴリを更新しない問題を修正しました。