Cómo obtener notificaciones sobre el estado del túnel IPSec

Incidencia

El cortafuegos de Palo Alto Networks actualmente no tiene SNMP OID para supervisar el estado del túnel IPSec, por lo que los sistemas de administración de red no pueden depender del protocolo SNMP para recibir notificaciones cuando el túnel IPSec en el cortafuegos de Palo Alto Networks cambia su estado.  

Solución alternativa

Realice la siguiente solución en el cortafuegos de Palo Alto Networks:

1. Configure y habilite la función de monitor de túnel IPSec para el túnel IPSec deseado. (https://Live.paloaltonetworks.com/docs/DOC-1323)
2. Configure el perfil del servidor syslog para enviar mensajes syslog al servidor syslog deseado. (https://Live.paloaltonetworks.com/docs/DOC-3837)
3. Ir al dispositivo > configuración del registro > sistema para enviar registros al servidor syslog creado previamente.

Cuando el monitor de túnel falla, el cortafuegos genera el siguiente mensaje en el registro del sistema:

Gravedad de tiempo subtipo objeto EventID ID Descripción = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

2015/03/15 13:24:34 túnel bajo VPN <object name="">-0 túnel <tunnel name="">está abajo </tunnel> </object>

El servidor syslog recibe un mensaje de "túnel abajo". Una vez que se ha subido el túnel IPSec, la interfaz del túnel también sube y se genera un nuevo mensaje "Tunnel is up" en los registros del sistema. A continuación, se envía un registro recién generado al servidor syslog.