SNMP Contre-surveillance
Symptom
Nous comptons sur les compteurs globaux pour résoudre bon nombre des problèmes que nous voyons. Les clients sont également venus à s'appuyer sur des compteurs globaux pour déboguer certains des problèmes qu'ils pourraient rencontrer. En fait, certains de nos clients nous ont demandé s’il est possible de surveiller ces compteurs afin qu’ils s’en aventurent et qu’ils puissent agir tout de suite!
Environment
Pré PAN-OS 7.0, cela n’était possible CLI qu’en utilisant le et via des scripts qui exécutent la commande « show counter global », puis parse la sortie et recherchez une certaine valeur.
Resolution
Depuis PAN-OS 7.0, nous sommes en mesure de surveiller un ensemble limité de ces compteurs via SNMP . Notez que tous les compteurs mondiaux ne sont pas disponibles avec cette fonctionnalité, ce serait trop, mais à PAN-OS partir de 7,0, 56 compteurs mondiaux peuvent être surveillés via SNMP .
Ces compteurs 56 sont répartis en 4 catégories différentes:
- Compteurs liés à dos
- IP compteurs de fragmentation
- TCP compteurs liés à l’État
- Tous les compteurs de paquets-Drop pertinents
Tous ces compteurs sont couverts sous MIB le panGlobalCounters appelé (.1.3.6.1.4.1.25461.2.1.2.1.19). Notez également les 4 sous-groupes pour chacune des catégories mentionnées ci-dessus:
panGlobalCounters (panGlobalCounters) MIB Détails des 4 sous-catégories:
- panGlobalCountersDOSCounters - Compteurs liés au DoS (. 1.3.6.1.4.1.25461.2.1.2.1.1.19.8)
panGlobalCountersDOSCounters PanGlobalCountersDOSCounters panGlobalCountersDOSCounters panGlo MIB
À l'aide de snmpwalk, vous pouvez trouver tous les OID liés à cette catégorie:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.8 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.3.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.7.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.8.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.9.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.10.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.11.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.12.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.13.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.14.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.15.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.16.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.17.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.18.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.19.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.20.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.21.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.22.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.23.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.24.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.25.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.26.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.27.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.28.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.29.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.30.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.31.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.8.32.0 = Counter64: 0
- panGlobalCountersDropCounters - Tous les compteurs de paquets pertinents(1.3.6.1.4.1.25461.2.1.2.1.19.9)
panGlobalCountersDropCounters PanGlobalCountersDropCounters panGlobalCountersDropCounters panGlo MIB
À l'aide de snmpwalk, vous pouvez trouver tous les OID liés à cette catégorie:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.9 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.3.0 = Counter64: 2328 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.9.7.0 = Counter64: 0
- panGlobalCountersIPFragmentationCounters - IP compteurs de fragmentation (1.3.6.1.4.1.25461.2.1.2.19.10)
panGlobalCountersIPFragmentationCounters Pan MIB
À l'aide de snmpwalk, vous pouvez trouver tous les OID liés à cette catégorie:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.10 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.10.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.10.2.0 = Counter64: 0
- panGlobalCountersTCPState - compteurs liés à TCP l’État(1.3.6.1.4.1.25461.2.1.2.1.19.11)
panGlobalCountersTCPState PanGlobalCountersTCPState panGlobalCountersTCPState panGlo MIB
À l'aide de snmpwalk, vous pouvez trouver tous les OID liés à cette catégorie:
AMSMACG7EVG8WN:~ kwens$ snmpwalk -v 2c -c public 10.192.16.170 .1.3.6.1.4.1.25461.2.1.2.1.19.11 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.1.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.2.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.3.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.4.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.5.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.6.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.7.0 = Counter64: 0 SNMPv2-SMI::enterprises.25461.2.1.2.1.19.11.8.0 = Counter64: 0
Notez que les compteurs réinitialisent chaque fois que vous redémarrez le dataplane ou redémarrez l'appareil!
La même SNMP configuration s’applique, comme toujours. Les articles suivants décrivent comment configurer SNMP :
Comment vérifier- SNMP- Fonctionnalité
Comment configurer-SNMPv2-on-the-Palo-Alto-Networks-Firewall
Comment configurer-envoi-SNMPv3- Traps -on- PAN-OS -5-0-x-and-above
Le dépannage est également fait de la façon dont il a été fait avant:
- Via snmpd. log
>less mp-log snmpd.log
- Via tcpdump si est SNMP géré via l’interface de gestion
> tcpdump snaplen 1500 filter "udp port 161" Press Ctrl-C to stop capturing tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes ^C468 packets captured 936 packets received by filter 0 packets dropped by kernel > view-pcap no-dns-lookup yes hex-ascii yes mgmt-pcap mgmt.pcap 21:50:08.148539 IP 10.192.7.40.61459 > 10.192.16.170.snmp: GetNextRequest(34) .1.3.6.1.4.1.25461.2.1.2.1.19.11 0x0000: 4560 004d 0ffa 0000 3f11 3df5 0ac0 0728 E`.M....?.=....( 0x0010: 0ac0 10aa f013 00a1 0039 4897 302f 0201 .........9H.0/.. 0x0020: 0104 0670 7562 6c69 63a1 2202 042a 9727 ...public."..*.' 0x0030: 1702 0100 0201 0030 1430 1206 0e2b 0601 .......0.0...+.. 0x0040: 0401 81c6 7502 0102 0113 0b05 00 ....u........ 21:50:08.153053 IP 10.192.16.170.snmp > 10.192.7.40.61459: GetResponse(37) .1.3.6.1.4.1.25461.2.1.2.1.19.11.1.0=0 0x0000: 4500 0050 0000 4000 4011 0d4c 0ac0 10aa E..P..@.@..L.... 0x0010: 0ac0 0728 00a1 f013 003c 2d9f 3032 0201 ...(.....<-.02.. 0x0020: 0104 0670 7562 6c69 63a2 2502 042a 9727 ...public.%..*.' 0x0030: 1702 0100 0201 0030 1730 1506 102b 0601 .......0.0...+.. 0x0040: 0401 81c6 7502 0102 0113 0b01 0046 0100 ....u........F..
- Via la capture de paquets-diag à travers SNMP un port d’avion de données
Getting-Started-Packet-Capture
Vous pouvez télécharger les fichiers SNMP MIB Enterprise ici :
I espérons que cet article vous a aidé à comprendre cette fonctionnalité.
Comme toujours, nous saluons tous les commentaires, commentaires et questions dans la section commentaires ci-dessous.
Kim
KIwi