Transmettre des PA-7000 journaux à Panorama

Transmettre des PA-7000 journaux à Panorama

45334
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:42 PM


Symptom


A nouvelle capacité ou fonctionnalité introduite dans PAN-OS 8.0, forwarding PA-7000 Journaux à Panorama . Les PA-7000 appareils de la série peuvent transmettre leurs journaux de la même manière que pour Panorama d’autres appareils Palo Alto Networks.


Les administrateurs peuvent augmenter la conservation du journal de leurs appareils PA-7000 en ajoutant une capacité de stockage ou des Panorama collecteurs de journaux pour répondre à leurs exigences de conservation.


Pour répondre aux exigences élevées en matière de taux de déconnectage d’un 7K, les modifications suivantes sont introduites dans 8.0 :

Côté envoi ( Firewall ):

  • Les journaux peuvent être transmis directement sans écritures locales (uniquement sur 7K).
  • Emballez et compressez plus de journaux sur un bloc d’envoi donné.

Côté réception Panorama (/collecteur de journaux) :

  • Les journaux de la firewall peuvent ALL être transmis aux collecteurs de journaux au lieu de seulement le préféré dans le groupe collecteur de journaux.
  • Sur M-100 et , il y aura une option pour M-500 configurer l’interface 1G et 10G inutilisée respectivement pour recevoir des journaux.

Topo exemple. png

  • Sur PA-7000 l’interface , Log card sera utilisé pour le déconnectage vers Panorama /LC

Changements sur le PA-7000 côté

  • Le mode F orwarding à grande vitesse log HSFM () est introduit pour les PA-7000 séries firewall
  • Par défaut HSFM est OFF
  • Avec HSFM , il n’y aurait pas d’enregistrement local et de rapports et tous les journaux seront transmis à Panorama /LC

Remarque: Les résumés, les rapports réguliers, les exportations de journaux réguliers et l’indexation hors ligne ne seront pas disponibles dans ce mode.

Environment


  • PAN-OS 8.0
  • Panorama
  • PA-7000 Série PA- (série 7k)

Resolution


Configuration: PA-7000

  1. Configurez un profil de transfert de journal et appliquez-le à la règle de sécurité.

logforward. png

  1. Activer le transfert de journal à grande vitesse
  • Pas une exigence, mais recommandé dans un environnement de taux de déconnectage élevé

Paramètres d'> configuration > journalisation et de reporting

transfert de journal à grande vitesse. png

 

Configuration: Panorama /Log-Collector

  1. Activer la passation de journaux à tous les collecteurs de journaux du groupe collecteur
  • Pas une exigence, mais recommandé dans un environnement de taux de déconnectage élevé

Panorama> groupes de collectionneurs

log collector. png

  1. Activer la collecte de journaux sur plusieurs interfaces du Panorama /Log-Collector
  • Pas une exigence, mais recommandé dans un environnement de taux de déconnectage élevé

Panorama > interfaces > configuration > MGMT

panorama interface de gestion.png

  1. Activer la collecte de journaux sur plusieurs interfaces du Panorama /Log-Collector
  • Pas une exigence, mais recommandé dans un environnement de taux de déconnectage élevé

Panorama > interfaces > configuration > ETH1

Panorama réglage eth1.png

 

Dépannage

  • Vérifiez les préférences log-Collector
> show log-collector preference-list

Forward to all: Yes

Log collector Preference List

Serial Number: 009201000001 IP Address: 10.0.0.147 IPV6 Address: unknown
Serial Number: 009201000001 IP Address: 10.0.0.101 IPV6 Address: unknown
Serial Number: 009201000002 IP Address: 10.0.0.145 IPV6 Address: unknown
Serial Number: 009201000002 IP Address: 10.0.0.100 IPV6 Address: unknown
  • État de journalisation détaillé pour chaque connexion de collecteur de journaux
> show logging-status

---------------------------------------------------------------------------------------------------
Type  Last Log Created  Last Log Fwded  Last Seq Num Fwded  Last Seq Num Acked  Total Logs Fwded
---------------------------------------------------------------------------------------------------
Log Collector           : 009201000001
Connection IP           : 10.0.0.101
Conn Source IP          : MS - def, LR -  10.0.0.102
High speed mode         :    Disabled
Connection Status       : MS - Active, LR -  Active
Rate                    :  852 logs/sec
traffic   2016/09/27 15:28:23   2016/09/27 15:28:30      6763581 6763581 206159
threat         Not Available         Not Available                        0                   0
....
Log Collector           : 009201000002
Connection IP           : 10.0.0.145
Conn Source IP          : MS - def, LR -  10.0.0.102
High speed mode         :    Disabled
Connection Status       : MS - Active, LR -  Active
Rate                    :  22602 logs/sec
traffic   2016/09/27 15:28:22   2016/09/27 15:28:23 6758365 6758365 219000   
threat         Not Available         Not Available                        0                   0
....

Additional Information


Pour en savoir plus sur ce sujet PAN-OS ou en général, veuillez consulter la page TechDocs PAN-OS Landing
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClT3CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language