So beheben Sie Probleme bei der Verwendung von High Management Plane CPU

• PAN-OS
• AIOps
• MP CPU

Protokollierung und Berichterstattung

1. Beschränken Sie die Protokollierung auf die Sicherheitsregeln, die interessanten Datenverkehr verarbeiten:
   1. Es ist möglicherweise nicht interessant, Nicht-Benutzer-Datenverkehr wie DNSNetBIOS, dynamische Routing-Protokolle usw. zu überwachen. SNMPICMP Wenn dies der Fall ist, erstellen Sie eine separate Sicherheitsregel für diesen Datenverkehr und deaktivieren Sie die Protokollierung dafür.
   2. Erstellen Sie separate Regeln für die Chatty-Anwendungen und deaktivieren Sie die Protokollierung für diese Regeln. Chatty-Anwendungen erstellen viele Sitzungen: Wenn diese Sitzungen protokolliert werden, würde dies die Last auf der MP CPU. Überprüfen Sie die ACC Registerkarte, um zu sehen, welche Anwendungen viele Sitzungen erstellen.
   3. Stellen Sie sicher, dass die Protokollierung für die Standardsicherheitsregeln deaktiviert ist: Die Sicherheitsregeln Intrazone-Default und Interzone-Default werden standardmäßig nicht protokolliert, da diese als Catch-All-Regeln betrachtet werden und in der Regel den Datenverkehr verarbeiten, firewall an dessen Überwachung der Administrator nicht interessiert ist.
   4. Deaktivieren Sie Protokoll am Sitzungsstart und nur Protokoll am Sitzungsende für die Sicherheitsregeln, die den Datenverkehr verarbeiten, der für Ihre Organisation wichtig ist.
2. Minimieren Sie die Protokolle, die an ein externes Ziel weitergeleitet werden.
3. Reduzieren Sie die Aufbewahrungszeit Ihrer Geräteprotokolle, indem Sie einen Wert für Max Days festlegen. unter Device > Setup > Management > Logging and Reporting Settings > Log Storage.
4. Überprüfen Sie, ob die Debug-Ebene für alle Dienste die Standardeinstellung ist, andernfalls setzen Sie die Debug-Ebene aller Dienste auf die Standardeinstellung zurück. Der Befehl "Allgemein" ist nur für die FW

   debug software logging-level show level service all-services

   Denn Panorama Sie müssen den einzelnen Befehl verwenden, der für jeden Prozess spezifisch ist.

   > debug <daemon name> show

5. Die Berichterstellung kann das Gerät belasten CPU .
   1. Vermeiden Sie geplante benutzerdefinierte Berichte, die einen langen Zeitraum abdecken, und reduzieren Sie die Anzahl dieser Berichte. Generieren Sie die Berichte nach Möglichkeit auf Panorama anstelle von Firewall: Geben Sie in Panoramen " Daten"Panorama als Quelle des Berichts an.

1. Vermeiden Sie bei ACC Berichten Abfragen über einen längeren Zeitraum.
2. Deaktivieren Sie unnötige vordefinierte Berichte auf dem Gerät unter Geräteeinrichtung > > Protokollierungs- und Berichtseinstellungen > vordefinierte Berichte.Standardmäßig sind alle vordefinierten Berichte aktiviert, obwohl viele von ihnen für die Organisation möglicherweise nicht nützlich sind.
3. Lassen Sie in Zeiten hoher Auslastung die Registerkarte "Überwachung" nicht geöffnet oder protokollieren Sie sie nicht und stellen Sie ACC sie auf "Automatische Aktualisierung" UI ein. Dadurch wird die Protokolldatenbank abgefragt und die Ausgabe in regelmäßigen Abständen neu kompiliert. Legen Sie stattdessen die Seitenaktualisierung unter Überwachen > Protokolle auf Manuell fest.

Automatisierte Prozesse Ein
weiterer wichtiger Faktor für Elevated MP CPU sind automatisierte Prozesse, die im Backend ausgeführt werden.

1. Führen Sie Backup-Prozesse auf dem Gerät außerhalb der Spitzenzeiten aus.
2. Minimieren Sie Administratoranmeldungen während der Geschäftszeiten (Protokollaktualisierungen und ACC Ansichten verbrauchen Ressourcen).
3. Erwägen Sie, wenn möglich (siehe Anmerkung b), die Häufigkeit der Aktualisierungszeit zu reduzieren, indem Sie den Wert für die Aktualisierungszeit (in Sekunden) unter Gerät (für ) / Panorama (für ) > Einstellungen für FWPanoramadie Einrichtung > Dienste > > DNS Minimale FQDN Aktualisierungszeit (Sek.) erhöhen oder Folgendes verwendenCLI:FQDN

   # set deviceconfig system fqdn-refresh-time <value> <0-14399> (in seconds)
   # commit

   1. Hinweis: Standardmäßig ist es auf 30 Minuten (1800s) eingestellt.
   2. Wichtig zu beachten: Seien Sie vorsichtig bei der dynamischen IP Umgebung, da dieser Ansatz zu Datenverkehrseinbrüchen führen kann, wenn die IP dem Objekt zugeordnete FQDN Adresse vor dem Aktualisierungsintervall geändert wird.
4. Die Benutzeridentifikation und insbesondere die Gruppenzuordnung können eine erhebliche Belastung darstellen, wenn große Mengen von Gruppenobjekten auf die geladen firewallwerden.
   1. Begrenzen Sie die Anzahl der Gruppen, indem Sie die Gruppeneinschlussliste konfigurieren. Zum Konfigurieren konfigurieren Sie die Einstellungen für die Geräte- >Benutzeridentifikation > Gruppenzuordnung > Gruppeneinschlussliste. Sie können auch Gruppenfilter verwenden.
   2. Benutzer-ID, IP Mapping-Unkenntnis kann hohe CPUverursachen. Das AusschließenIP der Benutzerzuordnung für unerwünschte Zonen kann helfen:UNKNOWN IP RATE LIMIT MITIGATION FOR USER-ID MAPPINGS

Prozesse

1. Überprüfen Sie, welcher Prozess die große Menge an CPU verbraucht:

   show system resources follow

   Je nachdem, welcher Prozess der Schuldige ist, führen Sie die richtige Untersuchung durch, um das Problem zu entschärfen.

1. Überprüfen Sie, ob der Speicherplatz auf root hoch ist, und reduzieren Sie in diesem Fall die Auslastung auf einen akzeptablen Prozentsatz.
2. Überprüfen Sie, ob alle Prozesse ausgeführt werden:

   show system software status

1. Wenn es nicht möglich ist, die Aktivität auf dem Gerät zu reduzieren, sollten Sie ein Upgrade auf eine Plattform mit höherer Funktionalität und einer größeren Verwaltungskapazität CPU in Betracht ziehen. Beziehen Sie sich auf die Produktauswahl, um Ihre firewall mit anderen Plattformen zu vergleichen.

Wenn Sie weitere Hilfe benötigen, um dieses hohe MP CPU Problem zu beheben, öffnen Sie ein Support-Ticket.HOW TO OPEN A CASE FOR HIGH MANAGEMENT PLANE CPU