目次
動作確認環境
- PA-200
- Version 8.1.19
SNMP トラップを送信するための設定手順
Palo Alto ファイアウォールから SNMP マネージャへ SNMP トラップを送信するための設定手順は以下の通りです。
- サーバープロファイル > SNMP トラップ を作成する
- ログ設定で SNMP トラップとしてシステムログを送信する設定をする
サーバープロファイル > SNMP トラップの作成
サーバープロファイル > SNMP トラップの作成を GUI で行う場合、[Device → サーバープロファイル → SNMP トラップ] 画面の下部にある [追加] をクリックします。
以下の設定画面が表示されるため、各項目を設定します。
- 名前: 任意のプロファイル名を入力します
- 記号としては「-」「_」「.」を使用できます
- バージョン: SNMP バージョンを指定します
- 表部分: SNMP マネージャの情報を追加します
- 名前: SNMP マネージャの表示名
- SNMP マネージャ: SNMP マネージャの IP アドレス
- コミュニティ: コミュニティ
CLI で設定する場合は以下の構文で設定します。
SNMPトラップサーバープロファイルの設定コマンド
- set shared log-settings snmptrap <プロファイル名> version v2c server <マネージャ名> manager <マネージャのIP>
- set shared log-settings snmptrap <プロファイル名> version v2c server <マネージャ名> community <コミュニティ>
設定例: プロファイル名が SNMPprof、SNMPマネージャ名が SNMPserver、SNMPマネージャの IP が 192.168.1.10、コミュニティが hogehoge の場合
set shared log-settings snmptrap SNMPprof version v2c server SNMPserver manager 192.168.1.10
set shared log-settings snmptrap SNMPprof version v2c server SNMPserver community hogehogeログ設定のシステムログ送信設定
続いてログ設定でシステムログを SNMP トラップとして送信するための設定を行います。
GUI で設定する場合は [Device → ログ設定] 画面のシステム欄にある [追加] をクリックします。
以下の設定画面が表示されるため、各項目を設定します。
- 名前: マッチリストの任意の表示名を入力
- フィルタ: SNMP トラップとして送信するシステムログのフィルタ条件を指定します
- フィルタ条件はフィルタビルダーを使用して任意に設定できます
- 例えばリンク状態変化のみに限定したい場合はフィルタ条件を
"(eventid eq link-change)"とします
- 内容: 説明文を設定したい場合のみ入力します
- SNMP 欄: あらかじめ作成しておいた SNMP トラッププロファイルを追加します
CLI で設定する場合は以下の構文で設定します。
システムログをSNMPトラップとして送信する設定コマンド
- set shared log-settings system match-list <マッチリスト名> send-snmptrap <SNMPトラッププロファイル名>
- set shared log-settings system match-list <マッチリスト名> filter “<フィルタ条件>“
- set shared log-settings system match-list <マッチリスト名> description <内容>
設定例:
set shared log-settings system match-list SNMP send-snmptrap SNMPprof
set shared log-settings system match-list SNMP filter "(eventid eq link-change)"SNMP トラップの送信元インターフェースについて
Palo Alto ファイアウォールが SNMP トラップを送信する際の送信元インターフェースは、デフォルトでは MGT インターフェースです。
送信元インターフェースを変更したい場合は、GUI で設定する場合は [Device → セットアップ] 画面のサービスタブのサービス機能→サービスルートの設定から行います。
CLI で設定する場合は以下の構文で設定します。
SNMPトラップのサービスルートの設定コマンド
- set deviceconfig system route service snmp source interface <IF名>
- set deviceconfig system route service snmp source address <IFのIPアドレス>
設定例:
set deviceconfig system route service snmp source interface management
set deviceconfig system route service snmp source address 192.168.1.1留意点
- Palo Alto の SNMP トラップ送信の仕様としては、システムログをベースにしてフィルタをかけて SNMP トラップとして送信するという仕様です。このため、適切にフィルタを設定しないと不要なトラップが送信されたり、必要なトラップが送信されなかったりすることが考えられます
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済
コメント