Comment faire pour obtenir des notifications sur l'état du tunnel IPSec

Demande client

Le pare-feu de Palo Alto Networks n'a pas actuellement d'oid SNMP pour surveiller l'état du tunnel IPSec, donc les systèmes de gestion de réseau ne peuvent pas compter sur le protocole SNMP pour recevoir des notifications lorsque le tunnel IPSec sur le pare-feu de Palo Alto Networks modifie son statut.  

Pour résoudre ce problème

Effectuez la solution de contournement suivante sur le pare-feu de Palo Alto Networks:

1. Configurez et activez la fonctionnalité de moniteur de tunnel IPSec pour le tunnel IPSec désiré. (https://Live.paloaltonetworks.com/docs/doc-1323)
2. Configurez le profil du serveur Syslog pour envoyer des messages syslog au serveur Syslog désiré. (https://Live.paloaltonetworks.com/docs/doc-3837)
3. Aller à l'Appareil > réglage du journal > système pour envoyer des logs au serveur Syslog précédemment créé.

Lorsque le moniteur de tunnel échoue, le pare-feu génère le message suivant dans le journal système:

Gravité de l'Heure sous-type d'Objet EventID ID description = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

2015/03/15 13:24:34 Low VPN <object name="">tunnel-0 tunnel <tunnel name="">est en panne </tunnel> </object>

Le serveur Syslog reçoit un message «tunnel Down». Une fois le tunnel IPSec mis en place, l'interface du tunnel Monte également et un nouveau message "tunnel est en place" est généré dans les journaux système. Ensuite, un journal nouvellement généré est envoyé au serveur syslog.