ログ コレクタ環境の設計とサイズ Panorama 設定の方法
Objective
Panoramaこのソリューションは、2 つの全体的な機能で構成されます。
- 構成とデバイス管理: これには、構成管理と展開、パロアルトネットワークファイアウォールの展開、ソフトウェアのアップグレード、コンテンツの更新などのアクティビティが含まれます。
- ログ収集: これには、1 つまたは複数のファイアウォールから、単一または Panorama 分散ログ収集インフラストラクチャへのログの収集が含まれます。 展開されたファイアウォールからログを収集するだけでなく、 Panorama 分散ログ インフラストラクチャ上の (単一 M- のシリーズやアプライアンスなど) にローカルに存在するかどうかに関係なく、そのログ データに基づいてレポートを生成できます VM 。
この Panorama ソリューションでは、これらの機能を管理インフラストラクチャの物理的な異なる部分に割り当てることで、設計に柔軟性を持たせることができます。 たとえば、 からデバイス管理を実行し、 VM Panorama ファイアウォールは、併置された専用ログ コレクターにログを転送します。
上記の例では、デバイス管理機能とレポート機能がアプライアンスで実行されます VM Panorama 。 3 ログ コレクター グループです。 Group A には、2 つのログ コレクタが含まれ、3 つのスタンドアロン ファイアウォールからログを受信します。 グループ B は、単一のコレクタで構成され、アクティブ/パッシブ高可用性 ( ) 構成のファイアウォールペアからログを受信 HA します。 グループ C にはログコレクタが2つ含まれ、2 HA 組のファイアウォールからログを受信します。 任意の場所ではログのコレクターの数はいくつかの要因に依存しています。 設計に関する考慮事項は以下で説明します。 注: どのプラットフォームも管理のみで、またシリーズを含むロガーとしても VM 機能 M- します。
Environment
- Panoramaログ収集機能をサポートする物理または仮想。
- PAN-OS 8.1 以上
Procedure
ログ収集
管理対象デバイス
現在のすべての Panorama プラットフォームの管理目的で 5000 台のデバイスの上限が設定されていますが (1 つ以上 9.0 以降を使用する 5000 のファイアウォール M-600 PAN-OS )、 Panorama すべての管理対象デバイスからの受信ログ レートを把握することが重要です。 まず、 で管理されるアプライアンスの全体のインベントリを作成 firewall Panorama します。
ログを転送する必要があるデバイスのインベントリを取得する例として、次の表を使用します。
| モデル | PAN-OS (主要支店) | 場所 | 1 秒あたりの平均平均ログレート ( LPS ) |
|---|---|---|---|
| PA-7080 | 8.1.x | US | 9800 LPS |
| PA-5260 | 8.1.x | シンガポール | 5200 LPS |
| PA-3250 | 8.1.x | NL | 2660 LPS |
| PA-220 | 8.1.x | HK | 408 LPS |
ログ レートを決定する方法については、次の記事を参照してください: ログ コレクターのログ記録要件
Panorama を使用してデバイスのログ 速度を決定する方法
このセクションでは、 Panorama 顧客の要件をサポートするためにログ インフラストラクチャを適切にサイズ設定および展開するために必要な情報について説明します。 必要な総ストレージ容量と分散ログ コレクターを介してストレージを割り当てる方法を決定する 3 つの主な要因があります。 これらの要因は次のとおりです。
- ログの取り込み要件: これは、インフラストラクチャに 1 秒あたりに送信されるログの合計数です Panorama 。
- ログストレージの要件: これは、お客様が管理プラットフォーム上でログを保持する必要がある時間枠です。 これには、ベースと規制コンプライアンスの両方の動機を含むさまざまな要因 policy があります。
- デバイスの場所: ファイアウォールの物理的な位置は、 DLC 帯域幅などに基づいてリモートの場所にアプライアンスを配置する決定を駆動することができます WAN 。
これらの各要素については、「
ログインジェスト要件」
の下のセクションで説明します管理対象
デバイスのログ転送率の集計は Panorama 、ディスクに受信、処理、書き込み可能な数よりも多くのログが定期的に送信される設計を回避するために理解する必要があります。 次の表は、各プラットフォームが転送できるログの最大数/秒を示 hardware Panorama し、ソリューションを設計する際に Panorama 使用して、お客様の環境で転送できるログの最大数を計算します。
デバイス ログ転送の制限
| プラットフォーム | サポートされるログ/秒 ( LPS ) |
|---|---|
| PA-200 | 250 |
| PA-220 | 1200 |
| PA-500 | 652 |
| PA-800 シリーズ | 1万 |
| PA-3000 シリーズ | 1万 |
| PA-3220 | 7000 |
| PA-3250 | 15000 |
| PA-3260 | 24000 |
| PA-5050 / PA-5060 | 1万 |
| PA-5220 | 3万 |
| PA-5250 | 55000 |
| PA-5260 | 90,000 |
| PA-7Kシリーズ | 70,000 |
| VM-50 | 1,250 |
| VM-100 / VM-200 | 2500 |
| VM-300 / VM-500 / VM-1000-HV | 8,000 |
| VM-700 | 1万 |
ログ取り込み率のオン Panorama は、使用中のプラットフォームとモード(混合モードとロガーモード)の影響を受けます。 次の表は、 Panorama 使用可能なさまざまなプラットフォームと動作モードのインジェストレートを示しています。 に VM RAM 割り当てられた CPU の数とギガバイト数を示すかっこの横の数字 VM 。
Panorama サポートされているログの取り込み率
| プラットフォーム | Panorama (混合)モード | ロガーモード |
|---|---|---|
| Panorama VM (16 CPU +32GB) RAM * | 1万 LPS | 15000 LPS |
| M-100 | 1万 LPS | 1万 LPS |
| M-200 | 1万 LPS | 28000 LPS |
| M-500 | 20,000 LPS | 3万 LPS |
| M-600 | 25,000 LPS | 5万 LPS |
上記の数値は、すべての最大値です。 ライブ展開では、実際のログ率は一般的にサポートされている最大の一部です。 実際のログ率の決定、お客様のトラフィック ミックスに大きく依存とスループットに縛られることはないです。 たとえば、1 つのオフロード SMB セッションでは高いスループットが表示されますが、トラフィック ログは 1 つしか生成されません。 逆に、それぞれが別々のトラフィック ログを生成する数千のクエリで構成される、より小さいスループット UDP DNS を持つことができます。 サイジングの場合、1 秒あたりの接続数とログ数/秒の間に大まかな相関関係を導き出すことができます。
* Panorama VM では、リソースの割り当てを増やすと、追加の機能を実現できます。 詳細については、 Panorama 仮想アプライアンスのセットアップの前提条件を 参照してください。
新規顧客のログレートを決定する方法
:
- 既存顧客のソースからの情報を活用します。 多くのお客様は、Splunk、ArcSight、Qradar などのサードパーティ製のログ作成ソリューションを導入しています。 既存のソリューションから送信されたログの数 firewall は、これらのシステムから取得できます。 この方法を使用する場合は、サードパーティソリューションから 1 日のログ数を取得し、86,400 (1 日の秒数) で割ります。 数日間平均を取得するこれを行います。 通常、2 つの間のログ レートの差異が大きいため、営業日と非営業日の両方を含めます。
- 評価デバイスのデータを使用します。 この情報は、目的をサイジングするに非常に有用な出発点を提供できるし、顧客からの入力と同じデザインで他のサイトのデータを推定できます。 この方法は、数日間にわたって平均を得るという利点があります。 A この情報の計算を支援するスクリプト(命令付き)は、この文書に添付されています。 使用するには、デザインログコレクタードキュメント.rarから「ts_lps.zip」という名前のファイルをダウンロードしてください。 zip ファイルを解凍し、 README 手順については.txtを参照してください。
- 情報が利用できない場合は、上記のデバイス ログ転送テーブルを参照ポイントとして使用します。 これは、特定の顧客に対して少なくとも正確なメソッドになります。
既存の顧客:
既存のお客様は、既存のファイアウォールとログコレクタから収集したデータを活用できます。
- 1 つのログ レートを確認するには firewall 、"Device.zip" という名前のファイルを デザイン ログ コレクター ドキュメント.rarからダウンロード README .txtします。 このパッケージは、指定された期間に 1 つのクエリ firewall を実行し (サンプル数を選択できます)、その期間の 1 秒あたりの平均ログ数を指定します。 少なくともこのスクリプトは、営業日に24時間連続して実行する必要があります。 完全な週のスクリプトを実行すると、ネットワークの循環の減退と流れをキャプチャするのに役立ちます。 お客様がログコレクタを持っていない場合、このプロセスは環境内のそれぞれに対して実行する必要があります firewall 。
- お客様がログコレクタ(またはログコレクタ)を持っている場合は、 デザインログコレクタドキュメントから「lc_lps.zip」という名前のファイルをダウンロードし.rar zipファイルを解凍し README 、指示を.txtファイルを参照しますこのパッケージは、 MIB 指定された期間に受信ログレートのサンプルを取得するためにログコレクターを照会します。
ログストレージ要件
に影響を与えるログストレージ要件: ログストレージ要件
を駆動するいくつかの要因があります。 これらの要件のほとんどは、本質的に規制。 お客様は HIPAA 、 、 、 PCI または サーベインズ・オクスリーのコンプライアンス要件を満たす必要があります。
考慮する必要があります他の政府と業界標準があります。 さらに、いくつかの企業内部の要件があります。 たとえば: 日分ログの数が元の管理プラットフォームを維持します。 ログ記憶域ソリューションを設計するときお客様が対処、これらすべての要件を確認します。
保存する必要があるログの最小日数に焦点を当てます。 (規制または) に関して最大日数が必要な policy 場合は、クォータ構成にログを保持する最大日数を設定できます。
必要なストレージの計算:
特定の顧客の要件に基づいて必要なストレージスペースを計算することは、かなり簡単なプロセスですが、精度の高い精度を達成する場合は、労力を要する場合があります。 PAN-OS9.1 では、すべてのログタイプの平均サイズは 489 バイト* です。 この数は、ディスクに格納されている合計ログ サイズを示します。
* ログの平均サイズは、トラフィック/ロギングミックスと有効な機能によって異なる場合があります。
長期アーカイブのログ記録ソリューションではない可能性があることに注意してください。 このような場合は、アーカイブ目的での Syslog 転送を提案します。
特定のログタイプのストレージ要件を決定する式。
例: 毎秒 1500 ログのログ速度でトラフィック ログの 30 日分を維持することができるユーザーします。
上記の計算結果は、ElasticSearch 詳細ログのみの計算結果です。 デフォルトのクォータ設定では、詳細ログに使用可能なストレージの 60% を予約します。 これは、計算された数値が ElasticSearch で使用されるストレージの 60% を表すことを意味します。 ElasticSearch に必要なストレージの合計を計算するには、この数値を .60 で除
算します。の使用可能なディスク領域が、ログに記録されたフォーマット済みログに割り当てられます。 ログに記録されたフォーマット済みログは、アップグレード、ダウングレード、およびデータベースの破損の修正をサポートするために保存されます。 購入する必要があるストレージの合計を計算するには、 ElasticSearch に必要なストレージを .66:
Panorama 8.0 以降のデフォルトのログ クォータ:
ログタイプ % ストレージ
詳細ログ Firewall
60 概要 Firewall ログ 30
インフラストラクチャと監査ログ 5
パロアルトネットワークプラットフォームログ.1
サードパーティ外部ログ.1 次の
記事を参照してください: Panorama
ログコレクタにディスク容量を割り当てる方法
Panorama
ログの可用性
ログ コレクター インフラストラクチャを使用する場合 (専用モードまたは混合モード) の場合、ログの冗長性を実現するには 2 つの方法があります。
ログ冗長性:
PAN-OS 8.1 以降では、ログ コレクタ グループ内の 2 つのログ コレクタに各ログを書き込む明示的なオプションが含まれています。 このオプションを有効にすると、デバイスはログをプライマリログコレクタに送信し、そのログを同じグループ内の別のコレクタに複製します
。 これはすべての回でログの可用性を保証する必要があるお客様に適したオプションです。 考慮するべき事:
- レプリケーションはログ コレクター グループ内でのみ起こる。
- (各ログが 2 回書き込まれる) ので全体的に使用可能なストレージ スペースは半分になります。
- 全体的なログ摂取速度が最大 50% 低下します。
- 待機時間が問題になる必要があります <10ms between the multiple LCs within the same collector group to avoid an Inter- LC 。
コレクター グループの基本設定リスト:
この方法は、複数のログ コレクターを 1 つのグループに配置することです。 このシナリオでは、 firewall 基本ログ コレクターがダウンした場合に、リストの 2 番目のコレクターがログを受信して保存するように Preference-List を使用して構成できます。
ログ コレクタへのログ転送のベスト プラクティスは、ログ コレクタの基本設定リストを持つ方法です。
詳細については、 複数のログ コレクタを持つコレクタ グループの注意点を参照してください。
以下に示すアーキテクチャでは、 Firewall A ログ Firewall B コレクター2をバックアップとしてログコレクタ1に送信するように構成されています。 ログ コレクタ 1 に到達できなくなった場合、デバイスはログ コレクタ 2 にログを送信します。
ログ・コレクター・グループの設計に関する考慮事項
グループ内のログ・コレクターを構成する主な理由は、以下の 3 つがあります。
- 特定の firewall (またはファイアウォールのセット) では、単一のログ コレクターが (保持を拡張するために) 提供するよりも、より大きなログ保持が必要になります。
- firewall単一のログ コレクタで提供できる値を超える特定のインジェスト容量が必要です (インジェストのスケーリング)。
- ログの冗長性の要件。
ログ・コレクター・グループの使用を検討する場合、設計段階で対処する必要がある考慮事項がいくつかあります。
- 使用可能なコレクター間での取り込みの分散: 複数のデバイス転送優先リストを作成できます。 これにより、コレクタグループ内の複数のコレクターが取り込みを処理できるようになります。 たとえば、優先順位リスト1は、ファイアウォールとリストコレクタ1の半分をプライマリおよびコレクタ2としてセカンダリとして持ちます。 優先順位リスト2は、セカンダリとしてプライマリおよびコレクタ1としてファイアウォールとリストコレクタ2の残りを持ちます。
- 待ち時間の問題: ログコレクターグループ内のコレクター間のネットワーク待ち時間は、パフォーマンスの重要な要素です。 A 一般的な設計ガイドラインは、同じグループのメンバーであるすべてのコレクターを近くに保つことです。 次の表は、冗長性が有効で無効な場合に、さまざまな遅延測定で期待できることを示しています。 この場合、「ログ遅延」は、待ち時間が長いという望ましくない結果です - ログは UI 送信された後までに表示されません Panorama 。
NOTE: 待機時間が問題になるはずです <10ms between the multiple LCs within the same collector group to avoid an Inter- LC 。
サイズ変更ワークシートの使用:
必要な情報には、必要な保存期間と平均ログレートが含まれます。
保持期間: ログを保持する必要がある日数。
平均ログレート: 測定または推定された総ログ レート。
冗長性が必要です。 ログの冗長性が必要な場合は、このチェックボックスをオンにします。
詳細ログ用のストレージ: 詳細ログの保存期間を満たすために必要なストレージの容量 (ギガバイト単位)。
必要なストレージの合計: 購入するストレージ (ギガバイト単位)。 これは、既定のクォータ設定ですべてのログの種類を示します。
EXAMPLE USE CASES
Additional Information
- 追加の質問がある場合や、ログ作成環境の設計と展開に関するヘルプが必要な場合は、アカウント チームにお問い合わせください。
- 上記のドキュメントは、この記事に圧縮され、デザインログ コレクター ドキュメントとして添付され、ダウンロードできます。
- ファイアウォールの基本設定一覧の構成を確認する方法については、次のドキュメントを参照してください NGFW 。 ログ転送の確認 Panorama
- ログ転送の設定方法については、次のドキュメントを参照してください。