PA-2000 シリーズと PA-4000 シリーズのMP CPU負荷の削減手順

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Steps to Reduce MP CPU on PA-2000 Series and PA-4000 Series
https://live.paloaltonetworks.com/t5/Management-Articles/Steps-to-Reduce-MP-CPU-on-PA-2000-Series-an...

 

問題

PA-2000 シリーズと PA-4000 シリーズのファイアウォールのマネジメントプレーン負荷が一貫して高く、デバイスにアクセスする際に緩慢な動作を引き起こします。

 

解決方法

  1. DNS、NetBios、ダイナミックルーティングプロトコル、SNMP、ICMPなどの利用者にとって有意義ではないトラフィックのログを削除する
    Firewall 自身ではなく、Panorama にログを転送し、レポートを Panorama 上で実行する
  2. ログインデックス作成を高速に実行できるように、最新のものを除くすべてのログを削除する
  3. すべてのポリシーにおいて、セッション終了時のみにロギングされていることを確認する
  4. 内部から内部宛の信頼できるトラフィック用のセキュリティポリシーからロギングをはずす
  5. 外部向け DNS トラフィックを減らすために内部 DNS サーバーを使用する
  6. ファイアウォールを通過するバックアッププロセスがビジネスピーク時間の前に完了していることを確認する
  7. 営業時間中の admin ログインを最小限に抑える(ログリフレッシュと ACC ビューはリソースを消費します)
  8. PAN-OS 6.0 および 6.1 のソフトウェアバージョンでは、コミットプロセスの最適化コードが導入されている
    注: PAN-OS 6.0 のバージョンのもう一つの有用な機能は、ファイアウォール上の定義済みレポートを無効にすることです。詳細については、次の文書を参照してください: How to Disable Predefined Reports on a Palo Alto Networks Device
  9. FQDN 更新、WildFire、コンテンツおよび脅威更新の頻度を減らす。アンチウイルスの更新を12時間または24時間の代わりに、15分や1時間ごとに設定する
    FQDN の更新間隔を変更するには、次のコマンドを使用します:
    # set deviceconfig system fqdn-forcerefresh-time
  10. GUI の更新をマニュアルに変更します。
  11. 顧客レポートの数を減らす - デバイスのローカルレポートとパノラマからプッシュされるレポートの両方で実施します

 

owner: kprakash