如何对高级管理平面进行故障排除CPU用法

• PAN-OS
• AIOps
• MP CPU

记录和报告

1. 将日志记录限制为处理相关流量的安全规则：
   1. 监控一些非用户流量可能没有意义，比如DNS, NetBIOS, 动态路由协议,SNMP ,ICMP等....如果是这样，请为该流量创建一个单独的安全规则并为其禁用日志记录。
   2. 为聊天应用程序创建单独的规则并禁用这些规则的日志记录。 Chatty 应用程序创建大量会话：如果记录这些会话，这将增加负载MP CPU. 检查ACC选项卡以查看哪些应用程序创建了大量会话。
   3. 确保默认安全规则已禁用日志记录：默认情况下不记录 intrazone-default 和 interzone-default 安全规则，因为它们被视为包罗万象的规则，通常处理firewall管理员对监控不感兴趣。
   4. 停用在会话开始时登录并且只有在会话结束时登录对于处理对您的组织来说很重要的流量的安全规则。
2. 最小化转发到外部目标的日志。
3. 通过设置一个值来减少设备日志的保留时间最大天数.在下面设备 > 设置 > 管理 > 日志记录和报告设置 > 日志存储.
4. 检查所有服务的调试级别是否为默认否则将所有服务的调试级别恢复为默认值。 通用命令仅适用于 FW

   debug software logging-level show level service all-services

   为了Panorama您需要使用特定于每个进程的单独命令。

   > debug <daemon name> show

5. 报告生成可以介绍CPU加载到设备上。
   1. 避免涵盖较长持续时间的预定自定义报告，并减少这些报告的数量。 尽可能生成报告Panorama而不是Firewall：在全景图上，指定“Panorama数据”作为报告的来源。

1. 为了ACC报告，避免长时间查询。
2. 禁用不必要的预定义报告在设备上设备 > 设置 > 日志记录和报告设置 > 预定义报告.默认情况下，所有预定义的报告都已启用，但其中许多可能对组织没有用处。
3. 在高负荷的时候，不要保持ACC或者日志监控UI选项卡打开并设置为自动刷新。 这会查询日志数据库并定期重新编译输出。 而是将页面刷新设置为手动下监控 > 日志.

自动化流程
高架的另一个主要贡献者MP CPU是在后端运行的自动化流程。

1. 在非高峰时段在设备上运行备份进程。
2. 在工作时间尽量减少管理员登录（日志刷新和ACC视图消耗资源）。
3. 如果可能（见注释 b），请考虑降低频率FQDN通过增加刷新时间值（以秒为单位）下的刷新时间设备（用于FW) /Panorama （为了Panorama) > 设置 > 服务 >DNS设置 > 最低FQDN刷新时间（秒）或使用CLI:

   # set deviceconfig system fqdn-refresh-time <value> <0-14399> (in seconds)
   # commit

   1. 注意：默认设置为 30 分钟（1800 秒）。
   2. 需要注意的重要事项：在动态的情况下要小心IP环境，因为如果IP与相关联的地址FQDN对象在刷新间隔之前可能会发生变化。
4. 用户识别，更具体地说，组映射，在将大量组对象加载到firewall.
   1. 通过配置限制组数组包含列表. 要配置，设备 > 用户标识 > 组映射设置 > 组包含列表. 您也可以使用组过滤器.
   2. 用户-ID ,IP映射未知会导致高CPU. 排除用户-IP映射到不需要的区域可以帮助：UNKNOWN IP RATE LIMIT MITIGATION FOR USER-ID MAPPINGS

进程

1. 检查哪个进程正在消耗大量cpu：

   show system resources follow

   取决于哪个过程是罪魁祸首，请进行适当的调查以缓解问题。

1. 检查 root 上的磁盘空间是否很高，如果是减少它的使用到可接受的百分比。
2. 检查是否所有进程都在运行：

   show system software status

1. 如果无法减少设备上的活动，则考虑升级到具有更大管理功能的更高功能平台CPU容量。 参考产品选择比较你的firewall到其他平台。

有关如何减轻这种高的进一步帮助MP CPU问题，打开支持票。查看HOW TO OPEN A CASE FOR HIGH MANAGEMENT PLANE CPU.