- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
本文書はCortex Data Lake(旧名称:Logging Service)を使用するに当たってのハイレベルでの概要と注意事項を紹介します。
手順や機能は随時更新が行われるため、詳細は最新の状況を反映できておりません。
本文書は参考としCortex Data Lake Getting Startedを必ずあわせて参照するようにして下さい。
(1)Cortex Data Lakeのライセンスの入手方法
(2)Cortex Data Lakeのプラニング
(3)Cortex Data Lakeライセンスの有効化
(4)ファイアウォールでのCortex Data Lakeへのログ転送の設定(Panoramaを使用しない場合)
(5)ファイアウォールからCortex Data Lakeへのログ転送の設定(Panoramaを使用する場合)
(6)Cortex Data Lakeのログ ストレージ割当の設定
(7)Cortex Data Lake状態の確認
(8)Cortex Data Lakeで使用するTCPポートとFQDN
Cortex Data Lakeのご購入が確認されましたらAuth Code、Sales Order番号が販売代理店様より発行されます。Auth CodeとSales Order番号は次の手順(2)で必要になります。まずはお手元にAuth CodeとSales Order番号がある事をご確認下さい。
なお、弊社プレミアムサポートではAuth CodeおよびSales Order番号についてお問い合わせ頂きましてもご回答することができません。Auth CodeまたはSales Order番号に関しましては購入先の販売代理店様までお問い合わせ頂けますようお願いいたします。
ライセンスファイルの入手や製品サポートを受けるためにはアカウントのご登録が必要となります。以下の記事を参考にアカウントを登録します。
カスタマーサポートポータルへのアカウント登録方法:
カスタマーサポートポータルには複数のユーザーを登録することができます。ユーザーを追加登録する場合は以下の記事をご参照下さい。
カスタマサポートポータルにユーザを追加する方法:
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
デプロイメントのプラニングに当たっては、以下の要件を考慮してください。
Customer Support PortalまたはHubから行います。使用するプロダクトと用法により方法が異なります。
注:Panorama管理下のPaloalto Networksファイアウォールからログを転送する場合、またはPrisma Accessを使用する場合、Customer Support Portalからの有効化が必須です。
詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > Cortex Data Lake License Activation
ライセンスの有効化ののち、ファイアウォールからログを転送する設定が可能になります。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Cortex Data Lake Getting Started > Forward Logs to Cortex Data Lake
ライセンス有効化をしていないようであれば、前項を参照の上、有効化を実施してください。
ファイアウォールのDevice > ライセンスにてCortex Data Lakeのライセンスが有効であることを確認してください。
ファイアウォールにて"ロギングサービスを有効化”をチェックします。Cortex Data Lake、Panorama オンプレミスのログ収集機器へのログ送信も可能です。
ファイアウォールにてNTPを設定してください。Cortex Data Lakeとの同期のため、NTPの設定は必須です。
ファイアウォールの管理インターフェイスからCortex Data Lakeへのログ転送をしたくない場合、異なるインターフェイスからの送出が可能です。該当のトラフィックを許可するポリシーも必要になります。
Cortex Data Lakeに転送するログ種類の選択と、その転送設定を行います。
変更をコミットします。
Cortex Data Lakeにログが転送されているか確認します。
> show logging-status
show logging-status:
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1
>Log Collection Service
'Log Collection log forwarding agent' is active and connected to xx.xxx.xxx.xx
config 2017/07/26 16:33:20 2017/07/26 16:34:09 323 321 2
system 2017/07/31 12:23:10 2017/07/31 12:23:18 13634645 13634637 84831
threat 2014/12/01 14:47:52 2017/07/26 16:34:24 557404252 557404169 93
traffic 2017/07/28 18:03:39 2017/07/28 18:03:50 3619306590 3619306590 1740
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0
長期に渡ってログをアーカイブしたい、SOC、または内部監査といった目的がある場合、Log Forewarding Appを使用できます。このアプリケーションはCortex Data Lakeから外部のsyslogサーバー、電子メールサーバーへのログ転送を可能にします。
詳細はLog Forwarding App Getting Started Guideを御覧ください。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > Cortex Data Lake for Panorama-Managed Firewalls
Cortex Data Lakeをご使用するにあたっては、以下のコンポーネントが必要となります。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > Activate Cortex Data Lake (Panorama-Managed Firewalls)
Panorama仮想アプライアンス、またはMシリーズ アプライアンスをセットアップします。詳細は、以下をご覧ください。
Panorama Administrator's Guide > Set Up the Panorama Virtual Appliance
Panorama Administrator's Guide > Set Up the M-Series Appliance
DNSとNTPの設定が必須です。
Panoramaの登録とサポート ライセンスのアクティベーションを行います。詳細は、以下をご覧ください。
Panorama Administrator's Guide > Register Panorama and Install Licenses
Cortex Data Lakeのアクティベーションを行います。
対応するPanoramaのシリアル番号と関連付けの上、Cortex Data LakeのAuth Codeをアクティベートします。
本記事作成時点ではLogging RegionとしてAmerica, Europeが選択可能。
アクティベートしたCortex Data LakeのQuantityとParts Descriptionの確認をします。
Panorama上でのプレミアム サポート ライセンス キーの取得します。
PanoramaでのCloud Services Pluginをインストールします。
アカウントの確認をします。スーパーユーザーとしてCSPにログインし、ワンタイム パスワードを生成し、それをPanoramaに入力する必要があります。
注:ワンタイム パスワードは生成から10分間のみ有効です。
PanoramaのCLIとGUIにてPanoramaとCortex Data Lakeの接続を確認します(Cloud Service Plugin 1.2以降で可能)。
HubにてCortex Data Lakeが正常に提供されていることを確認します。
後述の「(5)Cortex Data Lakeのログ ストレージ割当の設定」を行います。
後述の「(5)-2ファイアウォールからCortex Data Lakeへのログ転送の設定」を行います。
本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > Forward Logs to Cortex Data Lake (Panorama-Managed Firewalls)
Prisma Access remote networks / mobile usersを使用している場合のログ転送は手順が異なります。
その場合はPrisma Access Administrator’s Guideをご覧ください。
https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin
ファイアウォールをPanoramaに管理対象デバイスとして追加します。
ファイアウォールはCortex Data Lakeとの同期のため、NTPの設定が必須です。
Panoramaに設定したものと同じNTPサーバーを指定してください。
管理対象ファイアウォールのためのCortex Data Lakeライセンスの取得とプッシュをします。
Panorama上でTemplateとDevice Groupを作成し、Cortex Data Lakeにログを転送するファイアウォールを追加します。
Templateで"ロギングサービスを有効化”をチェックし、ログを蓄積したいRegionを選択します。
PAN-OS 8.1からは"ロギングの複製(クラウドおよびオンプレミス)を有効化"をチェックすることで、Cortex Data Lake、Panorama、オンプレミスのログ収集機器へのログ送信も可能です。
ファイアウォールの管理インターフェイスからCortex Data Lakeへのログ転送をしたくない場合、異なるインターフェイスからの送出が可能です。該当のトラフィックを許可するポリシーも必要になります。
Cortex Data Lakeに転送するログ種類の選択と、その転送設定を行います。
Cortex Data Lakeとの通信に、ファイアウォールはTCP ポート 3978、PanoramaはTCP ポート 444を使用します。
Panoramaとインターネットの間にPaloalto Networksのファイアウォールがある場合、App-ID paloalto-shared-servicesとpaloalto-logging-servicesを許可するか、インターネット向きのTCP ポート 444と3978を使用したSSL通信を許可する必要があります。Paloalto以外のファイアウォールの場合は、「(7)Cortex Data Lakeで使用するTCPポートとFQDN」を参照の上、該当する通信を許可してください。
Panorama上で変更をコミットし、テンプレートとデバイスグループをプッシュします。
Cortex Data Lakeにログが転送されているか確認します。
PanoramaのMonitor > ログでログがあるか確認します。
ファイアウォール上で以下のコマンドで、Cortex Data Lakeにログを転送しているか確認します。
> show logging-status
> show logging-status
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1
>Log Collection Service
'Log Collection log forwarding agent' is active and connected to 65.154.226.13
config 2018/02/06 16:06:33 2018/02/07 02:09:29 48 48 2
system 2018/02/07 09:06:50 2018/02/07 09:07:09 960 959 416
threat Not Available Not Available 0 0 0
traffic 2018/02/07 09:08:52 2018/02/07 09:09:09 238501 238250 237706
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0
Cortex Data Lakeに接続せず、Panoramaにログを転送しています。
> show logging-status
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Panorama log forwarding agent is active
config Not Available Not Available 0 42 0
system 2018/01/31 13:58:43 2018/01/31 13:58:50 502 502 69
threat Not Available Not Available 0 0 0
traffic 2018/01/31 14:01:19 2018/01/31 14:01:27 534 532 355
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0
> CMS 1
Not Sending to CMS 1
>Log Collection Service
Not Sending to Log Collector
Cortex Data Lakeの証明書をファイアウォールが取得しているか確認する。以下は取得できていない例。
> request logging-service-forwarding certificate info
Certificate chain verification: failed
Failed to fetch lcaas certificate info.
admin@PA-VM1> request logging-service-forwarding certificate fetch
Server error : Logging Service License not installed. Install the license beforefetching a certificate.
上記の出力の場合、STEP 2"管理対象ファイアウォールのためのCortex Data Lakeライセンスの取得とプッシュ"を再度実行してください。
失敗例:Cortex Data Lakeへの転送を試みているが失敗している
> show logging-status
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1
>Log Collection Service
'Log Collection log forwarding agent' is active but not connected
config Not Available Not Available 0 42 0
system Not Available Not Available 0 516 0
threat Not Available Not Available 0 0 0
traffic Not Available Not Available 0 635 0
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0
例えばファイアウォールからインターネットへのTCP ポート 3978の通信が遮断されている場合などに上記の出力となります。該当の通信が適切なルートに向けて出力されているか、またTCP 3978が他のファイアウォールなどにブロックされていないかご確認ください。
長期に渡ってログをアーカイブしたい、SOC、または内部監査といった目的がある場合、Log Forewarding Appを使用できます。このアプリケーションはCortex Data Lakeから外部のsyslogサーバー、電子メールサーバーへのログ転送を可能にします。
詳細はLog Forwarding App Getting Started Guideを御覧ください。
Hubにてログ ストレージ割当をログ タイプごとに行う必要があります。デフォルトでは割当がされておらず、ログ ストレージ割当を行わないと、ログはCortex Data Lakeで保存されません。
本文書では概要をご紹介します。詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > Configure Log Storage Quota on the Cortex Data Lake
Hub (https://apps.paloaltonetworks.com/apps)にサイン インします。
サイン インできない場合はCustomer Support Portalにて適切なユーザー ロールを割り当てる必要があります。
ログ ストレージ割当を行いたいCortex Data Lakeのインスタンスを選択します。
複数のCortex Data Lakeのインスタンスを保持している場合は、Cortex Data Lakeのタイルにマウスを重ねてください。お客様のアカウント配下で利用可能なインスタンスのリストから、該当するものを選択します。
各タイプのログへ割り当てるストレージ量を調整するため、Configrationを選択します。
ログの生成元(Firewall 等)をクリックして展開し、各ログ タイプごとに設定をします。
Applyにて設定を適用します。
Hub (https://apps.paloaltonetworks.com/apps) > Statusからサービスの状態を確認できます
詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > View Cortex Data Lake Status
PanoramaとファイアウォールはTCPポート444と3978を用いて、ログを転送します。App-ID “paloalto-logging-service”にて識別が可能です。詳細は以下をご覧ください。
Cortex Data Lake Getting Started Guide > TCP Ports and FQDNs Required for Cortex Data Lake