SNMP Contracontrol
Symptom
Confiamos en los contadores globales para resolver muchos de los problemas que vemos. Los clientes también han llegado a depender de contadores globales para depurar algunos de los problemas que podrían encontrar. De hecho, algunos de nuestros clientes nos han preguntado si es posible monitorear estos contadores para que sepan que algo está pasando y pueden actuar en ello de inmediato!
Environment
Antes PAN-OS de las 7.0, esto sólo era posible usando los CLI scripts y vía que ejecutan el comando 'show counter global', después analiza la salida y busca un cierto valor.
Resolution
Desde PAN-OS la versión 7.0, podemos monitorizar un conjunto limitado de estos contadores a través de SNMP . Tenga en cuenta que no todos los contadores globales están disponibles con esta característica, que serían demasiados, pero a partir de PAN-OS 7.0, 56 contadores globales se pueden monitorear a través de SNMP .
Estos 56 contadores se dividen en 4 categorías diferentes:
- Contadores relacionados con dos
- IP contadores de fragmentación
- TCP contadores relacionados con el estado
- Todos los contadores de paquetes-Drop relevantes
Todos estos contadores están cubiertos bajo los MIB llamados panGlobalCounters (.1.3.6.1.4.1.25461.2.1.2.1.1.19). También observe las 4 subcarpetas para cada una de las categorías mencionadas anteriormente:
panGlobalCounters MIB Detalles de las 4 subcategorías:
- panGlobalCountersDOSCounters - Contadores relacionados con DoS (. 1.3.6.1.4.1.25461.2.1.2.1.19.8)
panGlobalCountersDOSCounters MIB
Utilizando snmpwalk, puedes encontrar todos los OID relacionados con esta categoría:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.8 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.3.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.7.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.8.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.9.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.10.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.11.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.12.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.13.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.14.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.15.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.16.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.17.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.18.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.19.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.20.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.21.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.22.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.23.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.24.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.25.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.26.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.27.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.28.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.29.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.30.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.31.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.32.0 = Counter64: 0
- panGlobalCountersDropCounters - Todos los contadores de caída de paquetes relevantes (1.3.6.1.4.1.25461.2.1.2.1.19.9)
panGlobalCountersDropCounters MIB
Utilizando snmpwalk, puedes encontrar todos los OID relacionados con esta categoría:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.9 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.3.0 = Counter64: 2328 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.7.0 = Counter64: 0
- panGlobalCountersIPFragmentationCounters - IP contadores de fragmentación (1.3.6.1.4.1.25461.2.1.2.1.19.10)
panGlobalCountersIPFragmentationCounters MIB
Utilizando snmpwalk, puedes encontrar todos los OID relacionados con esta categoría:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.10 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.10.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.10.2.0 = Counter64: 0
- panGlobalCountersTCPState - TCP contadores relacionados con el estado (1.3.6.1.4.1.25461.2.1.2.1.19.11)
panGlobalCountersTCPState MIB
Utilizando snmpwalk, puedes encontrar todos los OID relacionados con esta categoría:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.11 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.3.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.7.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.8.0 = Counter64: 0
Tenga en cuenta que los contadores se restablecen cada vez que se reinicia el plan de la misma o se reinicia el dispositivo.
La misma SNMP configuración se aplica, como siempre. En los siguientes artículos se describe cómo SNMP configurar:
Cómo verificar- SNMP- Funcionalidad
Cómo configurar-SNMPv2-on-the-Palo-Alto-Networks-Firewall
Cómo configurar-enviar-SNMPv3- Traps -on- PAN-OS -5-0-x-and-above
La solución de problemas también se hace como se hizo antes:
- Vía snmpd. log
>less mp-log snmpd.log
- Vía tcpdump si SNMP se gestiona a través de la interfaz de administración
> tcpdump snaplen 1500 filter "udp port 161" Press Ctrl-C to stop capturing tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes ^C468 packets captured 936 packets received by filter 0 packets dropped by kernel > view-pcap no-dns-lookup yes hex-ascii yes mgmt-pcap mgmt.pcap 21:50:08.148539 IP 10.192.7.40.61459 > 10.192.16.170.snmp: GetNextRequest(34) .1.3.6.1.4.1.25461.2.1.2.1.19.11 0x0000: 4560 004d 0ffa 0000 3f11 3df5 0ac0 0728 E`.M....?.=....( 0x0010: 0ac0 10aa f013 00a1 0039 4897 302f 0201 .........9H.0/.. 0x0020: 0104 0670 7562 6c69 63a1 2202 042a 9727 ...public."..*.' 0x0030: 1702 0100 0201 0030 1430 1206 0e2b 0601 .......0.0...+.. 0x0040: 0401 81c6 7502 0102 0113 0b05 00 ....u........ 21:50:08.153053 IP 10.192.16.170.snmp > 10.192.7.40.61459: GetResponse(37) .1.3.6.1.4.1.25461.2.1.2.1.19.11.1.0=0 0x0000: 4500 0050 0000 4000 4011 0d4c 0ac0 10aa E..P..@.@..L.... 0x0010: 0ac0 0728 00a1 f013 003c 2d9f 3032 0201 ...(.....<-.02.. 0x0020: 0104 0670 7562 6c69 63a2 2502 042a 9727 ...public.%..*.' 0x0030: 1702 0100 0201 0030 1730 1506 102b 0601 .......0.0...+.. 0x0040: 0401 81c6 7502 0102 0113 0b01 0046 0100 ....u........F..
- A través de la captura de paquetes-diag a través de SNMP un puerto de plano de datos
Getting-Started-captura de paquetes
Puede descargar los archivos enterprise SNMP MIB aquí:
I espero que este artículo le haya ayudado a entender esta característica.
Como siempre, damos la bienvenida a todas las opiniones, comentarios y preguntas en la sección de comentarios.
Kim
KIwi