ネットフローの確認とトラブルシューティングの方法
Objective
このドキュメントでは、パロアルトネットワーク上のネットフローを検証し、トラブルシューティングする方法を説明します Firewall
Environment
- Firewall
- 信頼されていないインターフェイス: 100.2.3.4
- 信頼インターフェイス: 192.168.133.1
- DMZ インターフェイス: 172.16.1.1
- ネットフローサーバ(ネットフロー分析/コレクタソフトウェアがインストールされている):
- 172.16.1.10
- クライアント PC :
- 192.168.133.10
Procedure
目次
1. ネットフローの概要
2. ネットフローの設定方法
3. 経由でのネットフロー設定の Firewall 確認ウェブ UI
4. 経由でのネットフロー Firewall 設定の確認 CLI
5. ネットフロー サーバへの到達可能性を確認する
6. Netflow 統計のカウンタが増加していることを確認する
7. Netflow 関連のグローバル カウンタのカウンタが増加していることを確認する
8. firewall 最大ログ レート数/秒 9 を超えていないか確認
します。 システム firewall リソース CPU 、メモリ、バッファなどのチェック
10. Netflow パケットが 11 の firewall パケット キャプチャを使用してパケットを送信していることを確認します Firewall
。 Netflow サーバーの Netflow Server でパケット キャプチャを使用して Netflow パケットが着信していることを確認
する Netflow Server のNetflow の概要
で Netflow を設定した場合 firewall 、トラフィックが firewall Netflow レコードを firewall 作成してその情報を Netflow サーバーに送信する場合は、Netflow レコードを作成し、その情報を Netflow サーバー
に送信します。 ) firewall
firewall フロー更新でトラフィック フロー/セッションが作成されると、トラフィック フロー フローフローの firewall 受信および送信が増えるにつれて、毎分 Netflow サーバに定期的に送信
X firewall
され、既存のトラフィック フローが閉じるたびに NetFlow サーバに送信されます( FIN、タイムアウト RST /期限切れ、またはfirewall
フロー拒否で削除/クリアされ、トラフィック フローが Netflow パケットによって拒否 firewall policy
されるたびに Firewall Netflow サーバに送信され、Netflow サーバにエクスポートされます。 送信元 firewall
ポート宛先ポートトラフィック IP
IP
の方向(入力対出力)
トラフィック アクション:セッション作成、セッション更新、セッション削除、セッション拒否
トラフィックプロトコル ( TCP UDP ICMP 、、、など) など、トラフィックの受信/出力に関する情報が含まれます。
ネット
フロー1の設定方法
など [ デバイス > サーバー プロファイル ] > [Netflow > 作成 ] をクリック>>、[名前]、[IP アドレス]、[ポート] の順にクリック>>、[OK
2] をクリックします。 ネットワーク>>インターフェイスに移動>>、Netflow を有効にするインターフェイスを選択>>、[Netflow プロファイル]ドロップダウンをクリックして、上記の手順 1 で作成したNetflow サーバ プロファイルを選択>>[OK
3]をクリックします。 [デバイス>>のセットアップ>>サービス] タブ>>[サービス ルート設定] >>クリックして、[ソース インターフェイス] をクリック>> Netflow Server に送信する Netflow パケットがどのインターフェイスを選択 >>>>、送信元 IP アドレスを選択>>[OK] を
クリックします。 MGT PA-7000 PA-5200 PA-3200 firewall
コミット
チュートリアル w/ スクリーンショット: web 1経由でネットフローの構成を Firewall 確認UI
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA。
Netflow >デバイス>サーバープロファイルに移動>編集をクリックして、[名前]、[アドレス]、および [正しいIPポート](通常は 2055) 2 を持つかどうかを確認>>をクリック
します。 [ネットワーク>>インターフェイス]に移動 >>、トラフィックがフローしているインターフェイスを選択>>、ドロップダウン 3 で正しいNetflow プロファイルが選択されていることを確認します
。 [デバイス>>設定>>サービス] タブに移動>>、[サービス ルート設定] をクリック >>>>、[Netflow] をクリック>>、[送信元インターフェイス] をクリック>>正しい送信元インターフェイスが選択されていることを確認します (つまり、Netflow パケットを送信して Netflow Server に到達するインターフェイス) 4 をクリックします
。 [デバイス>>設定>>サービス] タブに移動>>、[サービス ルート設定] >>クリックして[Netflow]をクリック>>、[送信元インターフェイス] をクリック>>正しい送信元 IP アドレスが選択されていることを確認します (つまり IP 、Netflow パケットを送信するインターフェイスのインターフェイス アドレスが選択されていることを確認します)
注: PA-7000 シリーズ PA-5200 、シリーズ、または PA-3200 シリーズを使用する場合は、サービス firewall ルートを設定する必要があります( 管理 ( ) インターフェイス - これらの Netflow 5 に対しては使用 MGT MGT できません)。
設定をコミットしたことを確認し Firewall ( Panorama 使用中の場合はプッシュ
)Netflow 設定を検証する Firewall CLI
> set cli config-output-format set > configure # show | match netflow set deviceconfig system route service netflow source address 172.16.1.1 set deviceconfig system route service netflow source interface ethernet1/3 set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10 set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20 set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5
Netflow サーバーに到達可能かどうかを確認
します。 Netflow のソース インターフェイスとして管理インターフェイスを使用している場合
> ping host <netflow_server_ip_address>
B。Netflow のソース インターフェイスとしてデータ インターフェイス (ethernet1/ X ) を使用している場合
> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>
また UDP Firewall
、Netflow の統計情報の
Netflow サーバー検証カウンターとの間でポート 2055 が開かれていることを確認します。
> debug log-receiver netflow statistics > debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series) Netflow Statistics -------------------------------------------------------------------------------- Template Config Last Refreshes Pkts Sent (errors) -------------------------------------------------------------------------------- Server Profile : pantaclab_netflow_server_profile 30 min/20 pkts 28 min/8 pkts 3223 (0) Total Netflow packets exported : 3223 (errors 0)
上記のカウンタをクリアするには、次のコマンドを実行します。
> debug log-receiver netflow clear
Netflow 関連のグローバル カウンタのカウンタが増加していることを確認する
> show counter global | match netflow name value rate severity category aspect description -------------------------------------------------------------------------------------------------------------------------------------------------------------- log_netflow_cnt 2 0 info log system Number of netflow records (For PA-7000, PA-5200, and PA-3200 series firewalls only): flow_netflow_event_created 58 1 info flow netflow NetFlow flowsets added for flow_created event flow_netflow_event_deleted 43 0 info flow netflow NetFlow flowsets added for flow_deleted event flow_netflow_event_update 1 0 info flow netflow NetFlow flowsets added for flow_update event flow_netflow_event_denied 213 1 info flow netflow NetFlow flowsets added for flow_denied event flow_netflow_wqe_success 1 0 info flow netflow WQE created for NetFlow flow_netflow_data_send_success 1 0 info flow netflow NetFlow data packet sent flow_netflow_data_flush_success 1 0 info flow netflow NetFlow data packet flushed Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record): > show counter global | match fpga_flow flow_fpga_flow_update 3 0 info flow offload fpga flow update transaction flow_fpga_flow_delete 3 0 info flow offload fpga flow delete transactions flow_fpga_rcv_stats
上記のカウンタをクリアするには、次のコマンドを実行します。
> clear counter global
firewall 最大ログ レート数/秒を超えていないかどうかを確認
する 最大ログ レートを確認する 次の firewall 操作を行うことができます。
> show system setting logging Max. logging rate: 50000 cnt/sec
以下のカウンタを調べて、上記の最大ログレート (1 秒あたりの) を超えているカウンタがないかどうかを確認してください。
> debug log-receiver statistics Log incoming rate: 3/sec Log written rate: 3/sec
システム
firewall リソース CPU 、メモリ、バッファなどのチェック
[システム ログ>>の監視] >>検索 CPU >>、高、高メモリ、高バッファ使用率などに関するログが表示されないことを確認する フィルタを使用して
Netflow パケットが firewall パケット キャプチャを使用して送信されていることを確認
します。 firewall
Netflow のソース インターフェイスとして管理インターフェイスを使用している場合
> tcpdump snaplen 0 filter “port 2055” <ctrl+C after 5-10 seconds> > view-pcap mgmt-pcap mgmt.pcap 17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369 17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356 17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392
これらの pcaps をエクスポートして firewall SCP TFTP 、Wireshark で表示するために、または サーバーにエクスポートする場合:
> scp export mgmt-pcap from mgmt.pcap to <username@host:path> > tftp export mgmt-pcap from mgmt.pcap to <host>
b.Netflow Start パケット キャプチャ X の送信元インターフェイスとしてデータ インターフェイス (ethernet1/ ) を使用する場合
[パケット キャプチャの監視] [>> パケット キャプチャの監視] をクリック>> [フィルタの管理] をクリック >>して 、[追加] をクリックして [追加] >> を >>クリック >>>> [追加] をクリック>> [パケット キャプチャのオン切り替え時に [パケット キャプチャのオン切り替え] をクリックして [パケットをオフ
にする] IP
をクリックし、[パケットを開く] をクリックします。
PC
Wireshark - 「udp.port==2055」でフィルタリングし、以下の
Netflow パケットが firewall 正しい送信元 IP アドレス([デバイス>>設定>>サービス] タブで設定されたインターフェイス)を確認>>サービス
firewall ルート設定の[Src MAC アドレス]([サービスルート設定] >>[デバイス>> >>>>設定]で設定されたインターフェイス)を確認します
>> firewall >>。 IP [編集] をクリックします)
Netflow パケットが firewall 正しい宛先ポートを使用して送信されていることを確認します([デバイス>> Netflow サーバ プロファイル] で[編集] をクリック>>設定されています)
例:
Wireshark パケットで Netflow パケットのキャプチャに「テンプレートが見つかりません」と表示される場合は、Netflow パケットのキャプチャ/できない フローセットを表示する - 心配しないでください - パケットキャプチャをもう一度やり直すだけですが、時間がかかります - Wireshark はネットフローフローセットと共にネットフローフローセットと一緒にネットフローテンプレートをキャプチャして、Netflow フローセットを表示できるようにするために発生します。
Netflow パケットがパケット キャプチャを使用して Netflow Server に到着していることを確認
する 任意のパケット キャプチャ ソフトウェア/ユーティリティを使用して Netflow Server でパケット キャプチャを行います (Wireshark、tcpdump など) ( 'udp.port===2055' によるフィルタ) この
firewall Netflow Server パケット キャプチャに (前の手順で) 残されたパケットが表示されていることを確認します。
Additional Information
によって作成されたフローの作成、フローの更新、フローの削除、フロー拒否イベントの例 PAN Firewall :
フローが作成されました
フロー更新
フロー削除
フロー拒否
ヒント: Netflow パケットの Wireshark パケット キャプチャで 「テンプレートが見つかりません」と表示される場合、パケット キャプチャをもう一度実行しますが、時間がかかります。
Netflow テンプレート- これは firewall 、構成ごとに時折 Netflow サーバに送信されるパケットです(Netflow サーバは、上記のフロー作成/更新/削除/拒否パケットに存在する形式/フィールドを解釈/理解するためにこのテンプレートパケットを必要とします)
Netflow Server インターフェイスのファイアウォールの番号付け規則 PAN :https://docs.paloaltonetworks.com/
pan-os /9-1/ pan-os -admin /モニタリング/ firewall - インターフェイス識別子-snmp-マネージャ-およびネットフローコレクタ.html
パロアルトネットワークスでネットフローを設定する方法 Firewall :
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/monitoring/netflow-monitoring/configure-netflow-exports.html
パロアルトネットワーク Firewall ネットフローテンプレート:
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os admin/monitoring/netflow-monitoring/netflow-templates.html -
サブインターフェイスを使用したネットフロープロファイルを使用する方法:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzyCAC