パロアルトファイアウォールの監視

最終更新日: 17 年 2023 月 XNUMX 日

APIキーをデバイスプロパティとして設定する

Palo AltoファイアウォールはSNMPによって少量のデータを公開しますが、包括的な監視を行うには、Palo AltoAPIも使用する必要があります。 したがって、デバイスでSNMPが有効になっていて正しく構成されていることを確認し、LogicMonitorのデバイスプロパティとしてPalo AltoAPIキーを設定する必要があります。

APIキーを取得し、それをデバイスプロパティとして設定するには:

  1. このプロセスは、コマンドラインまたはブラウザから開始できます。
    • コマンドラインから、Palo Alto XML APIマニュアルで詳しく説明されているように、管理者の資格情報を使用してファイアウォールのホスト名またはIPアドレスにGETまたはPOSTリクエストを送信します。 type = keygen:
      curl -k -X GET 'https://<firewall>/api/?type=keygen&user=<username>&password=<password>'

      OR

      curl -k -X POST 'https://<firewall>/api/?type=keygen&user=<username>&password=<password>'
    • ブラウザから、アドレスバーに以下のURLを入力してキーを生成します。
      https://<firewall>/api/?type=keygen&user=<username>&password=<password>

    注: 上記のURLのファイアウォール、ユーザー名、パスワードを適切な値に置き換えます。 パスワードの特殊文字はURLエンコードする必要があります(ブラウザがこれを行う可能性があります)。

  2. 結果は、キーを含むXMLブロックになります。 キーは次のようにフォーマットする必要があります。 gJlQWE56987nBxIqyfa62s23RtYuIo2BgzEA9UOnlZBhU.
  3. キー値をコピーして、という名前のデバイスプロパティの値として使用します paloalto.apikey.pass.

    注: このプロパティが、Panorama管理サーバーを含むすべてのPaloAltoデバイスで設定されていることを確認します。 このプロパティは、LogicMonitorアカウントのルートレベルで設定するのが最も簡単です。 これにより、データソースがAPIを介して接続できるようになります。 プロパティの設定の詳細については、を参照してください。 リソースとインスタンスのプロパティ.

トラブルシューティング:セッションを破棄

場合によっては、パロアルトファイアウォールはコレクターからデバイスへのSNMP要求を許可しますが、デバイスからコレクターへの応答をブロックします。 これは、応答パケットのファイアウォールでの破棄セッションによって証明されます(つまり、device:snmp port-> collector:highportからUDPを破棄します)。 この破棄セッションは、コレクターの再起動または他のイベントによって破棄セッションが期限切れになるまで(30〜60秒間トラフィックがない場合)、コレクターの同じポートを使用しているデバイスからコレクターに戻る後続のすべてのSNMP応答をブロックします。 。 これにより、コレクターから監視対象デバイスへのトラフィックがパロアルトファイアウォールを通過するSNMPデータ収集の問題が発生する可能性があります。

考えられる回避策:

  • Palo AltoUDPセッションタイムアウトを10秒から30秒に増やします
  • 次のような双方向ファイアウォールポリシーを開きます。
    • コレクター:ハイポートを許可->デバイス:snmp
    • デバイス:snmp->コレクター:ハイポートを許可する
記事上で