Cómo solucionar problemas de valores de procesamiento de CTD con picos o en alto rendimiento de POW del plano de datos de depuración >
15962
Created On 06/06/23 21:01 PM - Last Modified 08/23/23 18:40 PM
Objective
El comando CLI > depurar el rendimiento del plano de datos muestra cuánto tiempo (en microsegundos) tarda la CPU en realizar varias funciones de software para procesar el tráfico a medida que pasa a través del firewall.Cuando los recursos CTD se acercan al uso máximo en el firewall, los valores en esta salida pueden aumentar o aumentar en comparación con los tiempos de trabajo bajos y normales, y los síntomas que se pueden ver son: CPU alta, lentitud o fallas de tráfico / aplicación, alto descriptor de paquetes (en chip) y uso de búfer de paquetes, etc. Las siguientes funciones son comúnmente responsables de realizar inspecciones CTD (Content & Threat Detection) en el tráfico a medida que pasa a través del firewall:
> debug dataplane pow performance func max-μs avg-μs count total-μs ac-max-μs ac-avg-μs ac-count ac-total-μs sml_vm 0 276491782.0 0 0 65 1.1 312208 369019 ctd_token 0 36.0 27197221 0 180 20.8 18000 374440 detector_run_p1 0 0.0 0 0 66 4.9 8509 42053 detector_run_p2 0 0.0 0 0 27 1.5 8786 13669 regex_lookup 0 0.0 0 0 1093 7.0 11494 81464Nota: (μs en la salida anterior significa microsegundos)Ejemplo: Si el recuento aumenta repentinamente pero avg-μs permanece bajo, la CPU todavía está inspeccionando los paquetes rápidamente, solo la cantidad de tráfico (recuento)
que ingresa al firewall era mayor en ese momento. Por esta razón, es importante interpretar los valores anteriores individualmente y también compararlos con un tiempo de trabajo en el que no estaba presente un problema para determinar si son la causa raíz del problema o no. (es decir, si subieron solo durante el problema, pueden tener algo que ver con la causa del problema). En el ejemplo en el que el recuento aumenta pero el avg-μs se mantiene bajo, simplemente evaluaría el tráfico entrante para ver qué nuevos flujos de tráfico entraron que causaron este aumento en el recuento y ver si esa fue la causa raíz del problema.
Es muy importante tomar una línea de base de lo que los valores anteriores están en condiciones normales, de trabajo y sin problemas, de modo que si surge un problema causado por los valores anteriores, los valores anormalmente más altos de lo normal se destaquen, se noten y se entiendan ( para ver los valores históricos de esta salida para comparar los tiempos de trabajo con los no laborables, ver dp-monitorX.log usando el comando: > menos mp-log dp-monitor<1-5>.log ).
Environment
- PAN-os
- CTD (Detección de contenido y amenazas)
Procedure
Los escenarios más comunes que pueden hacer que el uso de recursos CTD aumente o aumente implican cambios recientes en la red, perfil/patrón de tráfico o un nuevo flujo de tráfico grande específico, como:
- Se introdujo un cierto flujo de tráfico nuevo que es grande o pesado en el motor de inspección del firewall, como: unknown-udp, unknown-tcp, ms-ds-smb, mssql-db, etc.
- Una cantidad o tasa anormalmente alta de un tipo de tráfico más pesado pasa a través del firewall, como: unknown-udp, unknown-tcp, ms-ds-smb, mssql-db, etc.
- Todo o una gran cantidad de tráfico pasa por una regla de permiso de política de seguridad con perfiles de seguridad "estrictos" adjuntos (especialmente cuando la cantidad de tráfico se acerca al rendimiento y la capacidad máximos de ese modelo, en este caso, se esperaría que sml_vm, ctd_token, detector_run_p1 y detector_run_p2 sean altas).
- Todo o la mayoría del tráfico pasa por una única regla de perfil de seguridad amplia que tiene muchos perfiles de seguridad pesados o estrictos configurados, especialmente si hay grandes cantidades de tráfico no clasificado (unknown-udp, unknown-tcp) o tráfico de alta velocidad de datos (ms-ds-smb, mssql-db, etc.) que pasa a través del firewall
- Se configuró una firma/objeto de URL personalizado ineficiente, aplicación personalizada o amenaza personalizada que utiliza demasiados comodines, no usa nada más que un solo comodín, es demasiado amplio, etc. (Esta configuración incorrecta a menudo hará que la función regex_lookup se eleve específicamente). Para resolver esto, quite los comodines o patrones ineficientes que afecten al rendimiento en objetos de filtrado de URL, aplicaciones personalizadas o firmas personalizadas; consulte El carácter comodín anidado(*) en las URL puede afectar gravemente al rendimiento para obtener más detalles.
- Tome una línea base de estos valores antes de que ocurriera el problema (o verifique los valores históricos).Si los valores actuales para sml_vm, ctd_token, detector_run_p1 y detector_run_p2 son mucho más altos que los valores anteriores vistos, entonces podrían ser los culpables del problema de alta CPU o tráfico. Si los valores actuales son aproximadamente los mismos que los valores antiguos cuando el problema no estaba ocurriendo, entonces podrían no ser el culpable o la causa raíz del problema. Si los valores son anormalmente más altos que los valores de línea base antes de que comenzara a producirse el problema, continúe con el paso 2 a continuación.
- Identifique qué nuevo flujo de tráfico (por IP de origen, puerto de origen, IP de destino, puerto de destino, aplicación) se introdujo y que comenzó a causar que estos valores aumentaran
- Vaya a la ficha ACC > Actividad de red > ver los gráficos Actividad IP de origen, Actividad IP de destino y Uso de aplicaciones
- Revise y evalúe cualquier flujo de tráfico en los gráficos anteriores que se destaque como valores atípicos que ocupan una gran cantidad de: bytes, sesiones, velocidad de paquetes, etc. (especialmente los nuevos flujos de tráfico que han aparecido solo desde que comenzó a ocurrir el problema). Busque un flujo de tráfico o aplicación específica que aparezca en los gráficos solo cuando se produzca el problema y no aparezca cuando el problema no se produzca.
- Ejecute el comando CLI: > mostrar estadísticas de aplicaciones en ejecución para comprobar si alguna aplicación tiene un valor anormalmente alto para cualquier columna (especialmente para aplicaciones de mayor velocidad de datos como: navegación web, unknown-udp, unknown-tcp, dns, ms-ds-smb, ms-ds-smbv2, ms-ds-smbv3 y mssql-db, o cualquier aplicación personalizada)
- Si algún flujo de tráfico o aplicación se destaca como posibles delincuentes en los pasos anteriores, es decir, cuando sus valores son más altos que en tiempos normales, funcionales y sin problemas cuando no hay un problema de tráfico / CPU alta), detenga temporalmente ese flujo de tráfico a través del firewall y vea si los valores relacionados con CTD en > depuran el rendimiento del plano de datos ( sml_vm, ctd_token, detector_run_p1 o detector_run_p2) vuelven a bajar a niveles normales y si el problema de tráfico ha desaparecido
- Reduzca cualquier inspección realizada en ese flujo de tráfico específico al:
- Crear una aplicación personalizada para ese tráfico (para que no se clasifique como unknown-udp o unknown-tcp)
- Envíe ese tráfico en su lugar a través de una regla de política de seguridad que no tenga ningún perfil de seguridad adjunto (o use un perfil menos estricto con menos firmas habilitadas)
- Habilite DSRI en la regla de directiva de seguridad que toma ese tráfico
- Crear una invalidación de aplicaciones para ese tráfico (úselo solo si su organización confía en el tráfico)
Nota: Las opciones B, C y D anteriores reducirán la cantidad de inspección de seguridad realizada en el tráfico. Utilice sólo la opción A anterior siempre que sea posible
Additional Information
Cómo interpretar la salida del "rendimiento de depuración de pow del
plano de datos" durante la solución de problemas de CPU DP alta Cómo mitigar el problema de CPU DP alta debido al alto uso de la aplicación Cómo
solucionar problemas de CPU de alto plano de datos
Wildcard anidado (*) en URL puede afectar gravemente el rendimiento
Consejos y trucos: Vulnerabilidad personalizada