Résolution des WildFire problèmes d’inscription
47967
Created On 06/14/21 01:46 AM - Last Modified 11/28/23 11:23 AM
Symptom
A un enregistrement réussi est requis avant qu’une WildFire solution matérielle-logicielle puisse firewall transférer des fichiers au WildFire serveur. Quand WildFire l’enregistrement échoue, la CLI commande show wildfire status affiche « Périphérique enregistré : Non ». Cet article explique comment résoudre les WildFire problèmes d’inscription.
Voici l’exemple de sortie du modèle réussi.
admin@ > PA-220 afficher wildfire le canal d’état public
Informations de connexion: Vérification de
signature: activer Sélection du
serveur: activer Cache de
fichiers: activer Cloud
WildFire public: Adresse du
serveur: wildfire .paloaltonetworks.com
État: Inactif Meilleur
serveur: panos. wildfire . paloaltonetworks.com
Périphérique enregistré : oui
Via un proxy : pas de licence valide : oui Adresse de route de service :
wildfire
IP 172.28.172.1
:
Voici l’exemple de sortie du modèle d’échec.
admin@ > PA-220 afficher wildfire le canal d’état public
Informations de connexion: Vérification de
signature: activer Sélection du
serveur: activer Cache de
fichiers: activer Cloud
WildFire
public: Adresse du serveur: wildfire .paloaltonetworks.com Meilleur
serveur: Appareil
enregistré: non
Via un proxy: pas de licence
wildfire valide: oui Adresse de
l’itinéraire du IP service: 172.28.172.1:
Cause
Il peut y avoir diverses raisons pour lesquelles le WildFire problème d’enregistrement se produit. Veuillez vous référer à la section Résolution et à la section Informations supplémentaires ci-dessous.
Resolution
Approche de dépannage générale :
Voici l’approche de dépannage générale. Les détails sont expliqués plus loin.- Exécutez la commande show wildfire status pour vérifier l’état.
- Vérifiez la configuration.
- Exécutez la commande show system info pour vérifier la version et la version de PAN-OS contenu.
- Installez manuellement la dernière version de Content.
- Exécutez la commande wildfire d’enregistrement de demande.
- Vérifiez varrcvr.log (moins mp-log varrcvr.log). Le fichier journal est inclus dans le fichier de support technique.
- Vérifiez le journal système(afficher la direction du système de journal égale vers l’arrière).Le fichier journal est inclus dans le fichier de support technique.
- Collecter le journal de débogage varrcvr.
- Collectez la capture de paquet.
Liste d’état :
| État : Inscription | |
| État : Inactif | |
| État : Sondage | |
| État : Interrogation | |
| État : Transfert du fichier | |
| État : Désactivé en raison de la configuration | https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbmCAC |
| État : SSL / échec de la TLS négociation | «debug wildfire server-selection disable" commande peut résoudre ce problème |
| État : Impossible d’authentifier le certificat distant CA | |
| État : Impossible de résoudre l’hôte | DNS Question |
| État : Serveur occupé ou erreur. Réessayez ultérieurement. | L’une des causes serait due à un renouvellement de certificat d’appareil. (Voir ci-dessous) |
| État : Échec de la connexion | |
| État : la connexion a expiré | Il expire en 60 secondes. Peut être un MTU problème |
| État : désactivé par le serveur cloud |
Vérifiez la configuration :
- Au cas où la commande show wildfire status afficherait l’état : Désactivé en raison dela configuration, référez-vous s’il vous plaît à l’article dans le tableau ci-dessus. Ou il peut s’agir d’un problème de validation de configuration. Vérifiez l’état du travail en exécutant la commande show jobs all et essayez commit force.
- Au cas où la commande show wildfire status afficherait l’état : Incapable de résoudre l’hôte,vérifiez s’il vous plaît les DNS configurations. Recherchez Échec de la résolution de l’hôte wildfire .paloaltonetworks.com dans le journal système. Dans CLI , exécutez la commande ping host wildfire .paloaltonetworks.com pour voir si la résolution de noms fonctionne. Si la résolution de noms fonctionne, une IP adresse s’affiche dans la sortie. (Ping lui-même échouerait car WildFire les clouds sont configurés pour ne pas répondre aux ICMP demandes).
admin@ PA-200 >'hôte ping wildfire .paloaltonetworks.com
PING wildfire.paloaltonetworks.com (35.247.145.234) 56(84) octets de données.
PING wildfire.paloaltonetworks.com (35.247.145.234) 56(84) octets de données.
- Si un itinéraire de service est configuré et qu’une interface de données est utilisée pour communiquer avec WildFire le cloud, vérifiez si la trame Jumbo est activée sur firewall WildFire l’enregistrement . peut échouer avec l’erreur État : Connexion expirée si la trame Jumbo est activée.Le contournement consiste à modifier la MTU valeur de l’interface à moins de 1500.
- En outre, dans le cas où une interface de données est utilisée avec un itinéraire de service, assurez-vous que l’application "paloalto- wildfire -cloud" est autorisée par la politique de sécurité sur le firewall . SSL Le déchiffrement ne doit pas être appliqué pour le trafic. Cela peut être vérifié en vérifiant le journal du trafic.
- Même sans itinéraire de service / trame Jumbo, WildFire l’enregistrement peut également échouer avec l’état: Erreur de délai d’échéance de connexion en raison MTU d’une taille si n’importe quel périphérique en amont a MTU la limite de taille.La solution de contournement consiste à modifier la MTU valeur de l’interface à une taille plus petite.
- Sur PA-7000 les pare-feu de série, une interface de carte de journal exécute WildFire le transfert de fichiers et elle nécessite la prise en DNS charge.
Collecte du journal de débogage varrcvr :
1. Activez debug
> debug vardata-receiver sur debug
> debug vardata-receiver set third-party libcurl
2. Déclencher l’enregistrement
> afficher l’horloge
> demander wildfire l’enregistrement
3. Vérifiez l’état
> afficher wildfire l’état
4. Désactiver le debug
> show clock > debug
vardata-receiver sur la normale
> debug vardata-receiver unset third-party curl
> debug vardata-receiver sur debug
> debug vardata-receiver set third-party libcurl
2. Déclencher l’enregistrement
> afficher l’horloge
> demander wildfire l’enregistrement
3. Vérifiez l’état
> afficher wildfire l’état
4. Désactiver le debug
> show clock > debug
vardata-receiver sur la normale
> debug vardata-receiver unset third-party curl
Le journal de débogage est inclus dans le fichier de support technique.
Additional Information
- WildFire l’enregistrement réussit même s’il n’y a pas de WildFire licence valide. Avec le service de WildFire base, le firewall peut transférer des fichiers exécutables portables ( PE ) pour WildFire analyse. Le détail peut être trouvé dans l’article suivant.
- « Adresse de route de service IP » dans la sortie de commande wildfire d’état d’exposition ne signifie pas toujours que l’artère de service est utilisée pour WildFire le service. Si le port de gestion est utilisé, l’adresse de gestion IP s’affiche dans la sortie.
- WildFire l’enregistrement n’a pas lieu sur un appareil passif. Veuillez vous référer à l’article suivant pour plus de détails.
TESTING WILDFIRE REGISTRATION FAILS IMMEDIATELY ON PASSIVE HA PEER
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
- Il y a un cas où WildFire le problème d’enregistrement commence à se produire juste après le renouvellement du certificat de l’appareil. Voici l'exemple du journal système.
2022/02/XX XX:26:26 high wildfir wildfir 0 WildFire registration failed.Authentication or Client Certificate failure. 2022/02/XX XX:25:26 info general general 0 Successfully renewed device certificate 2022/02/XX XX:25:24 info general general 0 Device certificate expires in 15 or less days
La commande show wildfire status indique « Serveur occupé ou erreur. Réessayez plus tard. ".
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Best server: Device registered: no Through a proxy: no Valid wildfire license: yes Service route IP address: 10.1.0.248 Best server update interval: 504 minutes. Global status: Server busy or error. Retry later. ...La solution à ce problème consiste à mettre à niveau la PAN-OS version. Veuillez contacter notre support réseau Palo Alto pour obtenir de l’aide supplémentaire si nécessaire.