Wie Sie Benachrichtigungen über den IPSec-Tunnel Status erhalten

Problem

Die Palo Alto Networks Firewall hat derzeit keine SNMP-oide, um den IPSec-Tunnel Status zu überwachen, daher können sich Netzwerkmanagement Systeme nicht auf SNMP-Protokoll verlassen, um Benachrichtigungen zu erhalten, wenn der IPSec-Tunnel auf der Palo Alto Networks-Firewall seinen Status ändert.  

Dieses Problem zu umgehen

Führen Sie die folgende Umgehung auf der Palo Alto Networks Firewall durch:

1. Konfigurieren und aktivieren Sie die IPSec Tunnel Monitor Funktion für den gewünschten IPSec-Tunnel. (https://Live.paloaltonetworks.com/docs/doc-1323)
2. Konfigurieren Sie das Syslog-Server-Profil, um Syslog-Nachrichten an den gewünschten Syslog-Server zu senden. (https://Live.paloaltonetworks.com/docs/doc-3837)
3. Gehen Sie zum Gerät > Log Setting > System, um Protokolle an zuvor erstellte Syslog-Server zu senden.

Wenn der Tunnel Monitor ausfällt, generiert die Firewall folgende Nachricht im System Protokoll:

Zeit schwere Subtyp-Objekt EventID ID Description = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
= =
<object name=""> <tunnel name=""> </tunnel> </object> = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Der Syslog-Server erhält eine "Tunnel Down"-Meldung. Nach dem Aufstellen des IPSec-Tunnels geht auch die Tunnel Schnittstelle nach oben und in den Systemprotokollen wird eine neue Meldung "Tunnel ist oben" erzeugt. Dann wird ein neu generiertes Log an den Syslog-Server gesendet.