故障排除WildFire注册问题
47955
Created On 06/14/21 01:46 AM - Last Modified 11/28/23 11:23 AM
Symptom
A 注册成功之前需要WildFire器具或firewall可以将文件转发到WildFire服务器。 什么时候WildFire注册失败,CLI命令节目wildfire地位节目“设备已注册:否” . 本文介绍了如何排除故障WildFire注册问题。
这是示例输出成功的图案。
行政@PA-220 > 显示wildfire状态通道公开
连接信息:
签名验证:启用
服务器选择:启用
文件缓存:启用
WildFire公共云:
服务器地址:wildfire .paloaltonetworks.com
状态:空闲
最佳服务器:panos。wildfire .paloaltonetworks.com
设备注册:是
通过代理:否
有效的wildfire执照:是
服务路线IP地址:172.28.172.1
:
这是示例输出失败图案。
行政@PA-220 > 显示wildfire状态通道公开
连接信息:
签名验证:启用
服务器选择:启用
文件缓存:启用
WildFire公共云:
服务器地址:wildfire .paloaltonetworks.com
最佳服务器:
设备注册:否
通过代理:否
有效的wildfire执照:是
服务路线IP地址:172.28.172.1
:
Cause
可能有多种原因WildFire出现注册问题。 请参考解析度部分和附加信息下面的部分。
Resolution
一般故障排除方法:
这是一般的故障排除方法。 细节在后面解释。- 跑节目wildfire地位命令来检查状态。
- 检查配置。
- 跑显示系统信息命令检查PAN-OS版本和内容版本。
- 手动安装最新的内容版本。
- 跑要求wildfire登记命令。
- 检查 varrcvr.log (少 mp-log varrcvr.log )。 日志文件包含在技术支持文件中。
- 检查系统日志(显示日志系统方向等于向后)。日志文件包含在技术支持文件中。
- 收集 varrcvr 调试日志。
- 收集数据包捕获。
状态列表:
| 状态:注册 | |
| 状态:空闲 | |
| 状态:探索中 | |
| 状态:查询中 | |
| 状态:转发文件 | |
| 状态:由于配置而禁用 | https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbmCAC |
| 地位:SSL /TLS握手失败 | "调试wildfire服务器选择禁用" 命令可以解决这个问题 |
| 状态:无法远程验证CA证书 | |
| 状态:无法解析主机 | DNS 问题 |
| 状态:服务器繁忙或错误。 稍后重试。 | 原因之一是设备证书更新。 (见下文) |
| 状态:连接失败 | |
| 状态:连接超时 | 它在 60 秒内超时。 可能是一个MTU问题 |
| 状态:被云服务器禁用 |
检查配置:
- 如果节目wildfire地位命令显示状态:由于配置而禁用,请参考上表中的文章。 或者它可能是一个配置提交问题。 请通过运行检查作业状态全部显示职位命令并尝试提交力.
- 如果节目wildfire地位命令显示状态:无法解析主机,请检查DNS设置。 请寻找无法解析主机wildfire.paloaltonetworks.com在系统日志中。 上CLI, 跑ping 主机wildfire.paloaltonetworks.com命令以查看名称解析是否有效。 如果名称解析有效,则IP地址显示在输出中。 (Ping 本身会失败,因为WildFire云被配置为不响应ICMP要求)。
行政@PA-200 > ping 主机wildfire.paloaltonetworks.com
PINGwildfire .paloaltonetworks.com (35.247.145.234) 56(84) 个字节的数据。
PINGwildfire .paloaltonetworks.com (35.247.145.234) 56(84) 个字节的数据。
- 如果配置了服务路由并使用数据接口与之通信WildFire云,检查是否启用了巨型帧firewall.WildFire登记可能失败并显示状态:如果启用了巨型帧,则连接超时错误。解决方法是更改MTU接口的值小于 1500。
- 此外,如果数据接口与服务路由一起使用,请确保应用程序“帕洛阿尔托-wildfire -云”是安全政策允许的firewall. SSL 不应对流量应用解密。 这可以通过检查流量日志来验证。
- 即使没有服务路线/巨型帧,WildFire注册也可能失败状态:连接超时由于一个错误MTU大小,如果任何上游设备有MTU尺寸限制。解决方法是更改MTU接口的值要小一些。
- 上PA-7000系列防火墙,日志卡接口执行WildFire文件转发,它需要DNS支持。
收集 varrcvr 调试日志:
1.启用调试
>> 在调试时调试 vardata-receiver
>> 调试 vardata-receiver 设置第三方 libcurl
2. 触发注册
> 显示时钟
> 请求wildfire登记
3. 验证状态
> 显示wildfire地位
4. 禁用调试
> 显示时钟
>> 正常调试 vardata-receiver
>> 调试 vardata-receiver 未设置第三方库 curl
>> 在调试时调试 vardata-receiver
>> 调试 vardata-receiver 设置第三方 libcurl
2. 触发注册
> 显示时钟
> 请求wildfire登记
3. 验证状态
> 显示wildfire地位
4. 禁用调试
> 显示时钟
>> 正常调试 vardata-receiver
>> 调试 vardata-receiver 未设置第三方库 curl
调试日志包含在技术支持文件中。
Additional Information
- WildFire 即使没有有效的注册成功WildFire执照。 随着基本WildFire服务firewall可以转发可移植的可执行文件(PE ) 文件为WildFire分析。 详细信息可以在下面的文章中找到。
- “服务路线IP地址”在里面节目wildfire地位命令输出并不总是意味着服务路由用于WildFire服务。 如果使用管理端口,管理IP地址显示在输出中。
- WildFire 注册不会在被动设备上进行。 详情请参阅以下文章。
TESTING WILDFIRE REGISTRATION FAILS IMMEDIATELY ON PASSIVE HA PEER
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgLCAS
- 有一种情况WildFire设备证书更新后立即开始出现注册问题。 这是系统日志的示例。
2022/02/XX XX:26:26 high wildfir wildfir 0 WildFire registration failed.Authentication or Client Certificate failure. 2022/02/XX XX:25:26 info general general 0 Successfully renewed device certificate 2022/02/XX XX:25:24 info general general 0 Device certificate expires in 15 or less days
这节目wildfire地位命令显示“服务器繁忙或错误。 稍后重试。 ”。
> show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Best server: Device registered: no Through a proxy: no Valid wildfire license: yes Service route IP address: 10.1.0.248 Best server update interval: 504 minutes. Global status: Server busy or error. Retry later. ...这个问题的解决方法是升级PAN-OS版本。 如有必要,请联系我们的帕洛阿尔托网络支持以获得进一步的帮助。