動作確認環境
- PA-200
- Version 8.1.19
ログ転送プロファイルとは
トラフィックログを Syslog サーバに転送したい場合、セキュリティポリシーに対してログ転送プロファイルを設定します。
ログ転送プロファイルを GUI で設定する場合、以下の画面で設定します。
ログ転送プロファイルの設定がコンフィグで表示されない
GUI でログ転送プロファイルを作成して設定した場合、CLI の show コマンドで表示したコンフィグでログ転送プロファイルの設定に該当するコンフィグが表示されない事象を確認しています。
前項の GUI 画面のログ転送プロファイルを設定している場合、以下のようなコンフィグが表示されることが期待されます。
set shared log-settings profiles testLogProf match-list testList send-syslog SyslogProf
set shared log-settings profiles testLogProf match-list testList log-type traffic
set shared log-settings profiles testLogProf match-list testList filter "All Logs"
set shared log-settings profiles testLogProf match-list testList send-to-panorama noしかし、GUI でログ転送プロファイルを作成・設定した場合は上記コンフィグは表示されません。
Palo Alto ナレッジベースによると、この事象はバージョン 8.1.0 以降で発生し、予期される事象とのことです。
CLI で設定した場合はコンフィグ上に表示される
CLI でログ転送プロファイルを作成した場合は、ログ転送プロファイルの設定がコンフィグ上に表示されます。
また、CLI で作成したログ転送プロファイルの設定内容を GUI で編集した場合もコンフィグ上の表示に反映されます。
コンフィグを読み解くときに注意が必要
既存 Palo Alto 機器のリプレイス案件などでは、既存機器のコンフィグをもとに新機器のコンフィグを作成するケースが良くあります。
このとき、ログ転送プロファイルの設定がコンフィグ上に表示されていない可能性がある点に注意してください。特に、セキュリティポリシーの設定でログ転送プロファイルが設定されているもののログ転送プロファイル自体の設定がコンフィグ上に表示されていない場合はこの事象に該当している可能性が高いです。この場合は GUI 上での設定内容確認が必須になります。
参考資料
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
コメント