Solución de problemas WildFire de registro
47963
Created On 06/14/21 01:46 AM - Last Modified 11/28/23 11:23 AM
Symptom
A se requiere un registro correcto antes de que un WildFire dispositivo o pueda reenviar archivos al firewall WildFire servidor. Cuando WildFire el registro falla, el comando show CLI wildfire status muestra "Dispositivo registrado: No". En este artículo se explica cómo solucionar problemas WildFire de registro.
Esta es la salida de ejemplo del patrón correcto.
admin@ > PA-220 mostrar wildfire el canal de estado público Información de
conexión: Verificación de
firma: habilitar Selección
del servidor: habilitar
Caché de archivos: habilitar Nube
WildFire
pública: Dirección del wildfire servidor: .paloaltonetworks.com
Estado: Inactivo Mejor
servidor: panos. wildfire . paloaltonetworks.com
Dispositivo registrado: sí
A través de un proxy: no
Licencia wildfire válida: sí Dirección de ruta de
IP servicio: 172.28.172.1
:
Aquí está la salida de muestra del patrón de falla.
admin@ > PA-220 mostrar wildfire el canal de estado público Información de
conexión: Verificación de firma: habilitar
Selección del servidor: habilitar Caché de
archivos: habilitar Nube
WildFire
pública: Dirección del wildfire servidor: .paloaltonetworks.com
Mejor servidor: Dispositivo
registrado: no
A través de un proxy: no Licencia
wildfire válida: sí Dirección de ruta de
IP servicio: 172.28.172.1
:
Cause
Puede haber varias razones para que se produzca el WildFire problema de registro. Consulte la sección Resolución y la sección Información adicional a continuación.
Resolution
Enfoque general de solución de problemas:
Este es el enfoque general de solución de problemas. Los detalles se explican más adelante.- Ejecute el comando show wildfire status de marcar el estatus.
- Compruebe la configuración.
- Ejecute el comando show system info de marcar la versión y la versión PAN-OS contenta.
- Instale la última versión de Contenido manualmente.
- Ejecute el comando wildfire de registro de solicitud.
- Compruebe varrcvr.log (menos mp-log varrcvr.log). El archivo de registro se incluye en el archivo de soporte técnico.
- Compruebe el registro del sistema(mostrar la dirección del sistema de registro igual hacia atrás).El archivo de registro se incluye en el archivo de soporte técnico.
- Recopile el registro de depuración de varrcvr.
- Recoja a la captura de paquetes.
Lista de estado:
Estado: Registro | |
Estado: Inactivo | |
Estado: Sondeo | |
Estado: Consulta | |
Estado: Archivo de reenvío | |
Estado: Deshabilitado debido a la configuración | https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbmCAC |
Estado: SSL / error de TLS apretón de manos | El comando "Debug wildfire Server-Selection Disable" puede resolver este problema |
Estado: No se puede autenticar el certificado remoto CA | |
Estado: No se puede resolver el host | DNS tema |
Estado: Servidor ocupado o error. Vuelva a intentarlo más tarde. | Una de las causas se debería a una renovación del certificado del dispositivo. (Ver abajo) |
Estado: Error de conexión | |
Estado: Se aeste el tiempo de ejecución de la conexión | Se abate el tiempo de espera en 60 segundos. Podría ser un MTU problema |
Estado: Deshabilitado por el servidor en la nube |
Compruebe la configuración:
- En caso de que el comando show wildfire status muestre el estatus: Inhabilitado debido ala configuración, refiera por favor al artículo en la tabla antedicho. O podría ser un config commit asunto. Marque por favor el estado del trabajo ejecutando el comando show jobs all e intente confirmar la fuerza.
- En caso de que el comando show wildfire status muestre Status: Unable to resolve host, marque por favor las DNS configuraciones. Busque No se pudo resolver el host wildfire .paloaltonetworks.com en el registro del sistema. En CLI , ejecute el comando ping host wildfire .paloaltonetworks.com para ver si la resolución de nombres funciona. Si la resolución de nombres funciona, se muestra una IP dirección en la salida. (El ping en sí fallaría porque WildFire las nubes están configuradas para no responder a ICMP las solicitudes).
admin@ PA-200 > host ping wildfire .paloaltonetworks.com
PING wildfire.paloaltonetworks.com (35.247.145.234) 56(84) bytes de datos.
PING wildfire.paloaltonetworks.com (35.247.145.234) 56(84) bytes de datos.
- Si se configura una ruta de servicio y se utiliza una interfaz de datos para comunicarse con WildFire la nube, compruebe si la trama Jumbo está habilitada en . firewall el registro WildFire puede fallar con Estado: Error de tiempo de espera agotado de la conexión si la trama Jumbo está habilitada.La solución alternativa es cambiar el MTU valor de la interfaz a menos de 1500.
- Además, en caso de que se utilice una interfaz de datos con una ruta de servicio, asegúrese de que la aplicación"paloalto- wildfire -cloud"esté permitida por la política de seguridad en el firewall . SSL El descifrado no debe aplicarse para el tráfico. Esto se puede verificar comprobando el registro de tráfico.
- Incluso sin la ruta de servicio/la trama jumbo, WildFire el registro puede también fallar con el estatus: Error de tiempo de ejecución a la hora de la conexión debido a un tamaño si cualquier dispositivo ascendente tiene limitación de MTU MTU tamaño.La solución consiste en cambiar el MTU valor de la interfaz a un tamaño menor.
- En PA-7000 los firewalls de la serie, una interfaz de la tarjeta de registro realiza WildFire el archivo-reenvío y requiere DNS el soporte.
Recopilación del registro de depuración varrcvr:
1. Habilite la depuración
> debug vardata-receiver en debug
> debug vardata-receiver set third-party libcurl
2. El registro del activador > el reloj de la demostración > el registro 3 de
la petición. wildfire
Verifique el estado
> mostrar wildfire el estado
4. Inhabilite
el debug > muestre el reloj > el
vardata-receptor del debug en
normal > el rizo de la lib de tercera persona del vardata-receptor del debug unset
> debug vardata-receiver en debug
> debug vardata-receiver set third-party libcurl
2. El registro del activador > el reloj de la demostración > el registro 3 de
la petición. wildfire
Verifique el estado
> mostrar wildfire el estado
4. Inhabilite
el debug > muestre el reloj > el
vardata-receptor del debug en
normal > el rizo de la lib de tercera persona del vardata-receptor del debug unset
El registro de depuración se incluye en el archivo de soporte técnico.
Additional Information
- WildFire el registro se realiza correctamente incluso si no hay ninguna WildFire licencia válida. Con el WildFire servicio básico, el firewall puede reenviar archivos ejecutables portables ( PE ) para su WildFire análisis. El detalle se puede encontrar en el siguiente artículo.
- La IP "dirección de ruta de servicio" en la salida del comando show wildfire status no significa siempre que la ruta de servicio está utilizada para WildFire el servicio. Si se utiliza el puerto de administración, la dirección de administración IP se muestra en la salida.
- WildFire el registro no tiene lugar en un dispositivo pasivo. Consulte el siguiente artículo para obtener más información.
TESTING WILDFIRE REGISTRATION FAILS IMMEDIATELY ON PASSIVE HA PEER
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
- Hay un caso en el que el problema de WildFire registro comienza a ocurrir justo después de la renovación del certificado del dispositivo. Este es el ejemplo del registro del sistema.
2022/02/XX XX:26:26 high wildfir wildfir 0 WildFire registration failed.Authentication or Client Certificate failure. 2022/02/XX XX:25:26 info general general 0 Successfully renewed device certificate 2022/02/XX XX:25:24 info general general 0 Device certificate expires in 15 or less days
El comando show wildfire status muestra "Servidor ocupado o error. Vuelva a intentarlo más tarde. ".
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Best server: Device registered: no Through a proxy: no Valid wildfire license: yes Service route IP address: 10.1.0.248 Best server update interval: 504 minutes. Global status: Server busy or error. Retry later. ...La solución para este problema es actualizar la PAN-OS versión. Póngase en contacto con nuestro soporte de la red de Palo Alto para obtener más ayuda si es necesario.