Comment faire pour résoudre les problèmes d’utilisation d’un plan CPU de haute gestion

• PAN-OS
• AIOps
• MP CPU

Enregistrement et reporting

1. Limitez la journalisation aux règles de sécurité qui gèrent le trafic intéressant :
   1. Il peut ne pas être intéressant de surveiller certains trafics non-utilisateurs tels que DNS, NetBIOS, protocoles de routage dynamique, , SNMPICMP, etc. Si tel est le cas, créez une règle de sécurité distincte pour ce trafic et désactivez la journalisation correspondante.
   2. Créez des règles distinctes pour les applications bavardes et désactivez la journalisation de ces règles. Les applications bavardes créent beaucoup de sessions : si ces sessions sont enregistrées, cela augmenterait la charge sur le MP CPUfichier . Vérifiez l’onglet ACC pour voir quelles applications créent beaucoup de sessions.
   3. Assurez-vous que la journalisation est désactivée dans les règles de sécurité par défaut par défaut et interzone par défaut des règles de sécurité par défaut, car elles sont considérées comme des règles fourre-tout et gèrent généralement le trafic que firewall l’administrateur n’est pas intéressé à surveiller.
   4. Désactivez Log at Session Start et Only Log at Session End pour les règles de sécurité qui gèrent le trafic important à surveiller pour votre organisation.
2. Réduisez le nombre de journaux transférés vers une destination externe.
3. Réduisez le temps de rétention des journaux de votre appareil en définissant une valeur pour Max Days. sous Configuration > Device > Management > Paramètres de journalisation et de création de rapports > Stockage des journaux.
4. Vérifiez si le niveau de débogage pour tous les services est la valeur par défaut, sinon restaurez le niveau de débogage de tous les services à leur valeur par défaut. La commande générale n’est disponible que pour le FW

   debug software logging-level show level service all-services

   car Panorama vous devez utiliser la commande individuelle spécifique à chaque processus.

   > debug <daemon name> show

5. La génération de rapports peut introduire CPU de la charge sur l’appareil.
   1. Évitez les rapports personnalisés planifiés qui couvrent une longue période et réduisez le nombre de ces rapports. Dans la mesure du possible, générez les rapports sur Panorama au lieu de Firewall: Sur les panoramas, spécifiez «Panorama Données » comme source du rapport.

1. Pour ACC les rapports, évitez d’interroger sur une longue période.
2. Désactivez les rapports prédéfinis inutiles sur l’appareil à partir de Configuration de l’appareil > Paramètres de journalisation et de création de rapports > > Rapports prédéfinis.Par défaut, tous les rapports prédéfinis sont activés, alors que beaucoup d’entre eux peuvent ne pas être utiles à l’organisation.
3. Pendant les périodes de charge élevée, ne conservez ACC pas ou ne consignez pas l’onglet de surveillance UI ouvert et définissez sur actualisation automatique. Cette opération interroge la base de données des journaux et recompile la sortie périodiquement. Au lieu de cela, définissez l’actualisation de la page sur Manuel sous Surveiller > journaux.

Processus automatisés Un autre contributeur majeur à élevé MP CPU est les processus automatisés exécutés dans le backend.

1. Exécutez des processus de sauvegarde sur l’appareil en dehors des heures de pointe.
2. Réduisez les connexions d’administrateur pendant les heures de bureau (actualisations des journaux et ACC vues consomment des ressources).
3. Dans la mesure du possible (voir note b), envisagez de réduire la fréquence de la durée d’actualisation en augmentant la valeur de la durée d’actualisation (en secondes) sous Périphérique (pour ) / Panorama (pour PanoramaFW) > Configuration > Services > paramètres > DNS Durée minimale FQDN d’actualisation (sec) ou en utilisant CLI:FQDN

   # set deviceconfig system fqdn-refresh-time <value> <0-14399> (in seconds)
   # commit

   1. Remarque: Par défaut, il est réglé sur 30 minutes (1800s).
   2. Important à noter : Soyez prudent dans le cas d’un environnement dynamique IP , car cette approche peut entraîner des baisses de trafic si l’adresse associée à l’objet est susceptible d’être modifiée avant l’intervalle d’actualisation IP FQDN .
4. L’identification de l’utilisateur, et plus particulièrement le mappage de groupe, peut exercer une pression importante lorsque de grandes quantités d’objets de groupe sont chargées sur le firewall.
   1. Limitez le nombre de groupes en configurant la liste d’inclusion de groupe. Pour configurer, l’identification de l’appareil > l’utilisateur > les paramètres de mappage de groupe > la liste d’inclusion de groupe. Vous pouvez également utiliser des filtres de groupe.
   2. L’utilisateur-ID, IP le mappage inconnu peut provoquer un .CPU L’exclusion du mappage utilisateurIP sur les zones indésirables peut aider à :UNKNOWN IP RATE LIMIT MITIGATION FOR USER-ID MAPPINGS

Processus

1. Vérifiez quel processus consomme la grande quantité de CPU :

   show system resources follow

   Selon le processus qui est le coupable, menez l’enquête appropriée pour atténuer le problème.

1. Vérifiez si l’espace disque sur root est élevé et, le cas échéant , réduisez son utilisation à un pourcentage acceptable.
2. Vérifiez si tout le processus est en cours d’exécution :

   show system software status

1. S'il n'est pas possible de réduire l'activité sur l'appareil, envisagez une mise à niveau vers une plate-forme à plus grande capacité avec une plus grande capacité de gestion CPU . Reportez-vous à la section Sélection de produits pour comparer votre firewall à d’autres plateformes.

Pour obtenir de l’aide supplémentaire sur la façon d’atténuer ce problème élevé MP CPU , ouvrez un ticket de support. cochez HOW TO OPEN A CASE FOR HIGH MANAGEMENT PLANE CPU.