IPSec トンネルの状態に関する通知を取得する方法

問題

パロアルトネットワークファイアウォールは現在、ipsec トンネルの状態を監視するために snmp oid を持っていないので、ネットワーク管理システムは、パロアルトネットワークファイアウォールの IPSec トンネルがそれの状態を変更したときに通知を受信するために snmp プロトコルに頼ることはできません。  

回避策

パロアルトネットワークファイアウォールで次の回避策を実行します。

1. 目的の ipsec トンネルの ipsec トンネルモニタ機能を構成して有効にします。(https://live.paloaltonetworks.com/docs/DOC-1323)
2. syslog サーバープロファイルを構成して、syslog メッセージを目的の syslog サーバーに送信します。(https://live.paloaltonetworks.com/docs/DOC-3837)
3. [デバイス] > [ログの設定] > [システム] に移動して、以前に作成した Syslog サーバーにログを送信します。

トンネルモニタが失敗すると、ファイアウォールはシステムログに次のメッセージを生成します。

時間重大度のサブタイプオブジェクト EventID ID の説明 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

2015/03/15 13:24:34 低 vpn<object name="">トンネル-0トンネル<tunnel name="">がダウンしている</tunnel> </object>

Syslog サーバーは "トンネルダウン" メッセージを受信します。IPSec トンネルが持ち出されると、トンネルインタフェースも上がり、システムログに「トンネルが開く」という新しいメッセージが生成されます。次に、新しく生成されたログが Syslog サーバーに送信されます。