IPSec トンネルの状態に関する通知を取得する方法
45210
Created On 09/25/18 19:52 PM - Last Modified 06/09/23 09:09 AM
Resolution
問題
パロアルトネットワークファイアウォールは現在、ipsec トンネルの状態を監視するために snmp oid を持っていないので、ネットワーク管理システムは、パロアルトネットワークファイアウォールの IPSec トンネルがそれの状態を変更したときに通知を受信するために snmp プロトコルに頼ることはできません。
回避策
パロアルトネットワークファイアウォールで次の回避策を実行します。
- 目的の ipsec トンネルの ipsec トンネルモニタ機能を構成して有効にします。(https://live.paloaltonetworks.com/docs/DOC-1323)
- syslog サーバープロファイルを構成して、syslog メッセージを目的の syslog サーバーに送信します。(https://live.paloaltonetworks.com/docs/DOC-3837)
- [デバイス] > [ログの設定] > [システム] に移動して、以前に作成した Syslog サーバーにログを送信します。
トンネルモニタが失敗すると、ファイアウォールはシステムログに次のメッセージを生成します。
時間重大度のサブタイプオブジェクト EventID ID の説明 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
2015/03/15 13:24:34 低 vpn<object name="">トンネル-0トンネル<tunnel name="">がダウンしている</tunnel> </object>
Syslog サーバーは "トンネルダウン" メッセージを受信します。IPSec トンネルが持ち出されると、トンネルインタフェースも上がり、システムログに「トンネルが開く」という新しいメッセージが生成されます。次に、新しく生成されたログが Syslog サーバーに送信されます。