Cómo solucionar problemas de uso del plano CPU de alta administración

• PAN-OS
• AIOps
• MP CPU

Registro e informes

1. Restrinja el registro a las reglas de seguridad que manejan el tráfico interesante:
   1. Puede que no sea interesante monitorear algún tráfico no usuario como DNS, NetBIOS, protocolos de enrutamiento dinámico, , , SNMPICMPetc.... Si es así, cree una regla de seguridad independiente para ese tráfico y deshabilite el registro para él.
   2. Cree reglas independientes para las aplicaciones habladoras y deshabilite el registro para esas reglas. Las aplicaciones Chatty crean muchas sesiones: si esas sesiones se registran, esto aumentaría la carga en el MP CPU. Compruebe la ACC pestaña para ver qué aplicaciones crean muchas sesiones.
   3. Asegúrese de que las reglas de seguridad predeterminadas tienen el registro deshabilitado: las reglas de seguridad predeterminadas intrazona e interzona predeterminadas no se registran de forma predeterminada, ya que se consideran las reglas generales y, por lo general, manejan el tráfico que firewall el administrador no está interesado en supervisar.
   4. Deshabilite Registrar al inicio de sesión y solo Iniciar sesión al final de sesión para las reglas de seguridad que controlan el tráfico que es importante supervisar para su organización.
2. Minimice los registros que se reenvían a un destino externo.
3. Reduzca el tiempo de retención de los registros de su dispositivo estableciendo un valor para Max Days. en Configuración > de dispositivos > Administración > Configuración de registro e informes > Almacenamiento de registros.
4. Compruebe si el nivel de depuración para todos los servicios es el predeterminado, de lo contrario, restaure el nivel de depuración de todos los servicios a su valor predeterminado. El comando general sólo está disponible para el FW

   debug software logging-level show level service all-services

   Para Panorama que necesite usar el comando individual específico para cada proceso.

   > debug <daemon name> show

5. La generación de informes puede introducir CPU carga en el dispositivo.
   1. Evite los informes personalizados programados que cubren un período de larga duración y reduzca el número de esos informes. Siempre que sea posible, genere los informes en Panorama lugar de : FirewallEn panorámicas, especifique "Datos"Panorama como origen del informe.

1. Para ACC los informes, evite consultar durante un período prolongado.
2. Deshabilite los informes predefinidos innecesarios en el dispositivo desde Configuración > del dispositivo > Configuración de registro e informes > Informes predefinidos.De forma predeterminada, todos los informes predefinidos están habilitados, mientras que muchos de ellos pueden no ser útiles para la organización.
3. En momentos de alta carga, no mantenga ACC o registre la pestaña de monitoreo UI abierta y configúrela en actualización automática. Esto consulta la base de datos de registro y vuelve a compilar el resultado periódicamente. En su lugar, establezca la actualización de página en Manual en Supervisar > registros.

Procesos
automatizados Otro de los principales contribuyentes a los elevados son los MP CPU procesos automatizados que se ejecutan en el backend.

1. Ejecute procesos de copia de seguridad en el dispositivo durante las horas no pico.
2. Minimice los inicios de sesión de administrador durante el horario comercial (las actualizaciones de registros y ACC las vistas consumen recursos).
3. Cuando sea posible (consulte la nota b), considere la posibilidad de reducir la frecuencia del tiempo de actualización aumentando el valor del FQDN tiempo de actualización (en segundos) en Dispositivo (para ) / Panorama (para Panorama) > Configuración > servicios > configuración > DNS Tiempo mínimo FQDN de actualización (segFW) o utilizandoCLI:

   # set deviceconfig system fqdn-refresh-time <value> <0-14399> (in seconds)
   # commit

   1. Nota: De forma predeterminada se establece en 30 minutos (1800s).
   2. Importante tener en cuenta: Tenga cuidado en el caso del entorno dinámico, IP ya que este enfoque puede provocar caídas de tráfico si la IP dirección asociada con el FQDN objeto está sujeta a cambios antes del intervalo de actualización.
4. La identificación del usuario y, más específicamente, la asignación de grupos, pueden ejercer una presión significativa cuando se cargan grandes cantidades de objetos de grupo en el firewall.
   1. Limite el número de grupos configurando la Lista de inclusión de grupos. Para configurar, Identificación de > usuario > Configuración de asignación de grupos > Lista de inclusión de grupo. También puede utilizar filtros de grupo.
   2. Usuario-ID, IP mapeo desconocido puede causar alta CPU. Excluir la asignación deIP usuarios en zonas no deseadas puede ayudar a:UNKNOWN IP RATE LIMIT MITIGATION FOR USER-ID MAPPINGS

Procesos

1. Compruebe qué proceso está consumiendo la gran cantidad de cpu:

   show system resources follow

   Dependiendo de qué proceso sea el culpable, realice la investigación adecuada para mitigar el problema.

1. Compruebe si el espacio en disco en la raíz es alto y, de ser así , reduzca su uso a un porcentaje aceptable.
2. Compruebe si todo el proceso se está ejecutando:

   show system software status

1. Si no es posible reducir la actividad en el dispositivo, considere una actualización a una plataforma de mayor capacidad con una mayor capacidad de administración CPU . Consulte la selección de productos para compararlos firewall con otras plataformas.

Para obtener más ayuda sobre cómo mitigar este problema grave MP CPU , abra un ticket de soporte. compruebe HOW TO OPEN A CASE FOR HIGH MANAGEMENT PLANE CPU.