Strata 製品向け Knowledge Base記事検索方法 のご案内

概要

サポートケースをオープンしなくても、Knowledge Base(以下KB)に公開された記事より有益な情報が得られる場合があります。本記事では複数の例を挙げて、公開情報の検索方法を案内します。 

https://knowledgebase.paloaltonetworks.com/ へアクセスし、画面中央に表示されるサーチボックスまたは右上に表示されるFind answers欄に"キーワード"を入力することで、検索結果が表示されます。検索結果の画面上で、より検索条件を絞りたい場合は右のBy Sourceチェックボックスより、"Knowledge Base" "Technical Documentation"などを選択すると、検索条件をKB記事やマニュアル等に検索結果を絞り込めます。

• "Knowledge Base" : Knowledge Base記事
• "Technical Documentation "：マニュアル、Release Notesなど

ポイントとしては

• ログからキーワードをピックアップして、キーワードのみにして検索すること。
• "キーワード のように、キーワード前後にダブルクォーテーションマークを付与し入力すること。
• ログにはキーワードの他に日時やip addressなども記録されていますが、日時やip addressのような環境固有の情報は排除しキーワードのみで検索すること。

例-01。Firewall(Pan OS v9.1.x) GUIから設定変更後commitをすると、GUI上以下のメッセージが表示され、commitに失敗された。

Threat database handler failed <<<<キーワード!
Commit failed

この例でのキーワードは"Threat database handler failed"をピックアップしてみます。

KB記事の検索結果、14件の記事が表示されたとします。14件の中で、下記のKB記事が参考になると判断します。KB記事の内容としては、"Threat database handler failed"が出力される原因は複数あり、原因の一つとしては何らかの理由でAV signature databaseが破損した場合とあります。このような場合では、最新のAV signature database Fileを手動インストールすることが復旧方法になります。手動インストールしても、問題が改善できなかった場合にTACへのケースオープンを検討ください。

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRSCA0

THREAT DATABASE HANDLER (COMMIT ERROR)

Cause
Reason 1. In certain cases, the AV update process or content update process might be terminated abruptly without any indication as to why. This isssue is seen more often in the PA-200, but other platforms like the PA-3000 also exhibit the issue. The corrupt AV signature database or content database will cause these commit failures.  <<<<

例-02.ユーザ証明書認証を使うGP Agentの環境でGP接続失敗して、PanGPA.logから該当時間に下記のログが記録されていた。

GP Agentの接続が失敗する問題の調査のために、まず、該当時間でのPanGPA.log及びPanGPS.logに異常を示すログが記録されているかを確認します。PanGPA.logには下記のログが記録されていました。

<<<<PanGPA.log>>>>
(T5812)Debug(2308): 11/25/21 12:12:09:655 winhttpObj, got ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY, clean cert cache now

ログからのキーワードは"ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY"になります。検索時は12:12:09:655のような時刻は排除して、キーワードのみで検索してください。

検索を実施した結果、下記のKB記事が参考になると判断します。KB記事の内容からクライアント証明書認証の動作として、PanGPAサービスはWindows端末のユーザストアクライアント証明書を参照する必要がありますが、何らかの理由でPanGPAサービスがクライアント証明書秘密鍵を参照出来なかった場合に"ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY"ログが出力されると記載されています。対処としてはPKCS12 formatのクライアント証明書をWindows ユーザストアに再度保存することになります。

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBQ6CAO

HOW TO RESOLVE WINHTTP ERRORS WITH GP CLIENT CERTIFICATE AUTHENTICATION

Cause
This issue typically occurs when PanGPA searches for the client certificate in the user store and finds it but does not have access to the private key. <<<<

Resolution
4.To resolve this, make sure the certificate is imported with the private key. If generated on the firewall, export the certificate with the private key in PKCS12 format which will include the private key.

例-03.Site-to-Site VPN 接続時、IPsec Phase1がUPにならず、ike.logには以下のログが記録されていた。

IPSec VPN接続ができない問題調査のため、まず、該当時間帯にike.logに異常を示すログが記録されているか確認することが重要です。今回の例ではike.logに以下のログが記録されていました。

<<<<ike.log>>>>
2020-08-07 12:31:24.003 +0530  [PERR]: {   29:     }: peer identifier (type ipaddr [172.31.1.161]) does not match remote SBM_DR_IKE_Gateway
2020-08-07 12:31:24.003 +0530  [PERR]: {   29:     }: 123.108.35.154[500] - 202.191.147.100[500]:(nil) invalid ID payload.　<<<<キーワード!
2020-08-07 12:31:28.087 +0530  [PERR]: Couldn't find configuration for IKE phase-1 request for peer IP 121.241.244.124[500].

ログからのキーワードは"invalid ID payload"になります。今回のログにはキーワード以外には日付やip addressなども記録されていますが、環境や事象固有の情報は除外し、キーワードのみで検索することでより正確な検索結果が得られます。下記のKB記事が参考になると判断します。

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PORsCAO

IKEv1 VPN error logs - Troubleshooting

3. Peer ID incorrect :　　<<<<
Debug logs :
2020-01-28 01:58:19.320 -0800  [PERR]: {    9:     }: peer identifier (type ipaddr [10.23.23.1]) does not match remote Primary-GW
2020-01-28 01:58:19.320 -0800  [PERR]: {    9:     }: 10.75.75.78[500] - 10.76.76.100[500]:(nil) invalid ID payload.
2020-01-28 01:58:19.320 -0800  [PERR]: {    9:     }: failed to process packet

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PP8hCAG

IKE Phase-1 negotiation failure due to missing identification for PA-VM deployed in Azure

KB記事の内容からIPsec IKE Phase1での接続認証時、VPN Peer間ではLocal IDとPeer IDが一致する必要があると記載されています。一致しない場合は”invalid ID payload”のログが出力されますので、対処としてはIPsec phase1のPeer ID設定の見直しが必要です。

明示的に設定しない場合はlocal IDは自分のlocal interface ip addressとなり、peer IDはVPN peerのip addressになります。PAN-OS Administrator’s Guideもご参照ください。

参考情報となりますが、下記のようにマッチする必要があります。

VPN-A(PA Firewall) local ID : 1.1.1.1, peer ID : 2.2.2.2
VPN-B(接続先の機器) local ID : 2.2.2.2, peer ID : 1.1.1.1

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/vpns/set-up-site-to-site-vpn/set-up-an-ike...

If you do not specify a value, the peer IP address is used as the peer identification value.