高管理プレーンのトラブルシューティング方法CPU使用法

• PAN-OS
• AIOps
• MP CPU

ロギングとレポート

1. 対象トラフィックを処理するセキュリティ ルールにロギングを制限します。
   1. 次のような非ユーザートラフィックを監視するのは面白くないかもしれませんDNS、NetBIOS、ダイナミック ルーティング プロトコル、SNMP 、ICMPなど....その場合は、そのトラフィックに対して別のセキュリティ ルールを作成し、そのログを無効にします。
   2. おしゃべりなアプリケーション用に別のルールを作成し、それらのルールのロギングを無効にします。 おしゃべりなアプリケーションは多くのセッションを作成します。これらのセッションがログに記録されると、サーバーの負荷が増加します。MP CPU . を確認してくださいACCタブを使用して、多くのセッションを作成するアプリケーションを確認します。
   3. デフォルトのセキュリティ ルールのロギングが無効になっていることを確認します。intrazone-default および interzone-default セキュリティ ルールはデフォルトではログに記録されません。これらはキャッチオール ルールと見なされ、通常はトラフィックを処理するためです。firewall管理者は監視に関心がありません。
   4. 無効にするセッション開始時のログそして唯一セッション終了時のログ組織にとって監視が重要なトラフィックを処理するセキュリティ ルールの場合。
2. 外部の宛先に転送されるログを最小限に抑えます。
3. の値を設定して、デバイス ログの保存期間を短縮します。最大日数.下デバイス > セットアップ > 管理 > ログとレポートの設定 > ログ ストレージ.
4. すべてのサービスのデバッグ レベルがデフォルトであるかどうかを確認しますそれ以外の場合は、すべてのサービスのデバッグ レベルをデフォルトに戻します。 一般コマンドは、 FW

   debug software logging-level show level service all-services

   ためにPanorama各プロセスに固有の個別のコマンドを使用する必要があります。

   > debug <daemon name> show

5. レポート生成により導入可能CPUデバイスにロードします。
   1. 長期間にわたるスケジュールされたカスタム レポートを避け、それらのレポートの数を減らします。 可能な限り、次のレポートを生成します。Panoramaの代わりにFirewall: パノラマでは、「Panoramaデータ」をレポートのソースとして使用します。

1. ためにACCレポートでは、長期間にわたるクエリを避けてください。
2. 不要な定義済みレポートを無効にするからのデバイスでデバイス > セットアップ > ログとレポートの設定 > 定義済みレポート.デフォルトでは、すべての定義済みレポートが有効になっていますが、それらの多くは組織にとって役に立たない場合があります。
3. 高負荷時は保管しないACCまたはログ監視UIタブを開いて自動更新に設定します。 これにより、ログ データベースにクエリが実行され、出力が定期的に再コンパイルされます。 代わりに、ページの更新を手動に設定します監視 > ログ.

自動化されたプロセス
高架へのもう 1 つの貢献者MP CPUバックエンドで実行される自動化されたプロセスです。

1. ピーク時以外にデバイスでバックアップ プロセスを実行します。
2. 営業時間中の管理者ログインを最小限に抑えます (ログの更新とACCビューはリソースを消費します)。
3. 可能であれば (注 b を参照)、FQDN下のリフレッシュ時間の値 (秒単位) を増やすことにより、リフレッシュ時間をデバイス（FW ) /Panorama （ためにPanorama) > 設定 > サービス >DNS設定 > 最小FQDNリフレッシュタイム(秒) または使用CLI:

   # set deviceconfig system fqdn-refresh-time <value> <0-14399> (in seconds)
   # commit

   1. 注: デフォルトでは、30 分 (1800 秒) に設定されています。
   2. 重要な注意事項: ダイナミックの場合は注意してくださいIPこれは、このアプローチではトラフィック ドロップが発生する可能性があるためです。IPに関連付けられたアドレスFQDNオブジェクトは、更新間隔の前に変更される可能性があります。
4. ユーザー識別、より具体的にはグループ マッピングは、大量のグループ オブジェクトがfirewall.
   1. を構成して、グループの数を制限します。グループ インクルード リスト. 構成するには、デバイス > ユーザー ID > グループ マッピング設定 > グループ インクルード リスト. 使用することもできますグループ フィルター.
   2. ユーザー-ID 、IPマッピングが不明な場合、高値が発生する可能性がありますCPU. ユーザーを除く-IP不要なゾーンへのマッピングは、次のことに役立ちます。UNKNOWN IP RATE LIMIT MITIGATION FOR USER-ID MAPPINGS

プロセス

1. 大量の CPU を消費しているプロセスを確認します。

   show system resources follow

   どちらに応じてプロセスが原因である場合は、適切な調査を行って問題を軽減してください。

1. ルートのディスク容量が多いかどうかを確認し、そうであればその使用を減らす許容できる割合に。
2. すべてのプロセスが実行されているかどうかを確認します。

   show system software status

1. デバイスのアクティビティを減らすことができない場合は、より大規模な管理機能を備えたより機能の高いプラットフォームへのアップグレードを検討してください。CPU容量。 参照する製品選択あなたを比較するfirewall他のプラットフォームへ。

この高値を緩和する方法についてさらにヘルプが必要な場合MP CPU問題が発生したら、サポート チケットを開きます。チェックHOW TO OPEN A CASE FOR HIGH MANAGEMENT PLANE CPU.