Cortex Data Lake(旧名称:Logging Service)を購入後、製品を使用するまでの流れ

Printer Friendly Page

概要

本文書はCortex Data Lake(旧名称:Logging Service)を使用するに当たってのハイレベルでの概要と注意事項を紹介します。

参照元の文書も更新されるため、実際の手順などについては参照元の文書を合わせてご確認ください。

 

目次

(1)Cortex Data Lakeのライセンスの入手方法

(2)Cortex Data Lakeのプラニング

(3)Cortex Data Lakeライセンスの有効化

(4)ファイアウォールでのCortex Data Lakeへのログ転送の設定(Panoramaを使用しない場合)

(5)ファイアウォールからCortex Data Lakeへのログ転送の設定(Panoramaを使用する場合)

(6)Cortex Data Lakeのログ ストレージ割当の設定

(7)Cortex Data Lake状態の確認

(8)Cortex Data Lakeで使用するTCPポートとFQDN

 

(1)Cortex Data Lakeのライセンスの入手方法

 

1.Authorization Code(以下Auth Code)とSales Order番号の確認

 

Cortex Data Lakeのご購入が確認されましたらAuth Code、Sales Order番号が販売代理店様より発行されます。Auth CodeとSales Order番号は次の手順(2)で必要になります。まずはお手元にAuth CodeとSales Order番号がある事をご確認下さい。

 

なお、弊社プレミアムサポートではAuth CodeおよびSales Order番号についてお問い合わせ頂きましてもご回答することができません。Auth CodeまたはSales Order番号に関しましては購入先の販売代理店様までお問い合わせ頂けますようお願いいたします。

 

2. カスタマーサポートポータルへのアカウント登録

 

ライセンスファイルの入手や製品サポートを受けるためにはアカウントのご登録が必要となります。以下の記事を参考にアカウントを登録します。

 

カスタマーサポートポータルへのアカウント登録方法:

https://live.paloaltonetworks.com/t5/%E3%81%8A%E5%AE%A2%E3%81%95%E3%81%BE%E5%90%91%E3%81%91%E3%82%B5...

 

カスタマーサポートポータルには複数のユーザーを登録することができます。ユーザーを追加登録する場合は以下の記事をご参照下さい。


カスタマサポートポータルにユーザを追加する方法:

https://live.paloaltonetworks.com/t5/%E3%81%8A%E5%AE%A2%E3%81%95%E3%81%BE%E5%90%91%E3%81%91%E3%82%B5...

 

(2)Cortex Data Lakeのプラニング

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

 

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

デプロイメントのプラニングに当たっては、以下の要件を考慮してください。

  • Cortex Sizing Calculatorを使用して、Cortex Data Lakeに必要なストレージ量を見積もってください。
  • Panoramaあるいは次世代ファイアウォールは、Proxyを介してのCortex Data Lakeとの接続ができないことを考慮してください。
  • Panoramaで管理する場合はPAN-OS 8.1.3以降、Panoramaで管理しない場合はPAN-OS 9.0.3以降のPAN-OSを使用しなければなりません。現時点でPA-220とPA-800シリーズは、PanoramaなしでのCortex Data Lakeの利用はサポートしていません。これらのファイアウォールを使用する場合は引き続きPanoramaが必要です。
  • Cortex Data Lakeの有効化は使用するプロダクトや用法により変わります。
  • PanoramaやPrisma Accessを利用する場合、その他の要件も確認してください。(後述)

 

(3)Cortex Data Lakeライセンスの有効化

 

Customer Support PortalまたはHubから行います。使用するプロダクトと用法により方法が異なります。

 

注:Panorama管理下のPaloalto Networksファイアウォールからログを転送する場合、またはPrisma Accessを使用する場合、Customer Support Portalからの有効化が必須です。

 

詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > Cortex Data Lake License Activation

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

 

 

(4)ファイアウォールでのCortex Data Lakeへのログ転送の設定(Panoramaを使用しない場合)

ライセンスの有効化ののち、ファイアウォールからログを転送する設定が可能になります。

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started > Forward Logs to Cortex Data Lake

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

STEP 1

ライセンス有効化をしていないようであれば、前項を参照の上、有効化を実施してください。

 

STEP 2

ファイアウォールのDevice > ライセンスにてCortex Data Lakeのライセンスが有効であることを確認してください。

 

STEP 3

ファイアウォールにて"ロギングサービスを有効化”をチェックします。Cortex Data Lake、Panorama オンプレミスのログ収集機器へのログ送信も可能です。

 

STEP 4

ファイアウォールにてNTPを設定してください。Cortex Data Lakeとの同期のため、NTPの設定は必須です。

 

STEP 5(オプション)

ファイアウォールの管理インターフェイスからCortex Data Lakeへのログ転送をしたくない場合、異なるインターフェイスからの送出が可能です。該当のトラフィックを許可するポリシーも必要になります。

 

STEP 6

Cortex Data Lakeに転送するログ種類の選択と、その転送設定を行います。

 

STEP 7

変更をコミットします。

 

STEP 8

Cortex Data Lakeにログが転送されているか確認します。

  • Hub上のExplorerにログインして、Cortex Data Lake上のログを見ます。
  • ファイアウォール上で以下のコマンドで、Cortex Data Lakeにログを転送しているか確認します。

> show logging-status

 

show logging-status:
-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1

>Log Collection Service
'Log Collection log forwarding agent' is active and connected to xx.xxx.xxx.xx


config 2017/07/26 16:33:20 2017/07/26 16:34:09 323 321 2
system 2017/07/31 12:23:10 2017/07/31 12:23:18 13634645 13634637 84831
threat 2014/12/01 14:47:52 2017/07/26 16:34:24 557404252 557404169 93
traffic 2017/07/28 18:03:39 2017/07/28 18:03:50 3619306590 3619306590 1740
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0

 

STEP 9

長期に渡ってログをアーカイブしたい、SOC、または内部監査といった目的がある場合、Log Forewarding Appを使用できます。このアプリケーションはCortex Data Lakeから外部のsyslogサーバー、電子メールサーバーへのログ転送を可能にします。

詳細はLog Forwarding App Getting Started Guideを御覧ください。

 

(5)ファイアウォールからCortex Data Lakeへのログ転送の設定(Panoramaを使用する場合)

 

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > Cortex Data Lake for Panorama-Managed Firewalls

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

要件

Cortex Data Lakeをご使用するにあたっては、以下のコンポーネントが必要となります。

  • PAN-OS 8.1.3以上のPanorama 仮想アプライアンス、またはハードウェアベースのPanoramaアプライアンス。
  • Panorama用の有効なプレミアム サポートライセンス Cortex Data Lakeライセンス、Device Managementライセンス。
  • Cloud Service Plugin。これはPrisma Accessを使用するためにも必要です。
  • Panoramaで管理される有効なプレミアム サポート ライセンスを持つPAN-OS 8.1.3以降の次世代ファイアウォール。Cortex XDR Analytics (旧名称:Magnifier)を使用される場合は8.1.3以上を推奨します。
  • Cortex Data Lakeライセンス。Cortex Data Lakeがライセンスされると、該当のカスタマーサポートポータルに登録されているすべてのファイアウォールでCortex Data Lakeのライセンスが利用可能になります。注:現在のリリースではCortex Data Lakeライセンスは1つの領域(例:ヨーロッパ、アメリカ)を使用してサービスを提供します。もし異なる領域に対してログを送信したい場合は複数のPanoramaとCortex Data Lakeライセンスが必要です。
  • Device Managementライセンス、プレミアム サポートライセンス Cortex Data Lakeライセンスを持つPanorama。Cortex Data Lakeがライセンスされると、サポートアカウントに登録されたファイアウォールが Cortex Data Lakeライセンスを受け取ります。
  • Panoramaあるいは次世代ファイアウォールは、Proxyを介してのCortex Data Lakeとの接続ができないことを考慮してください。

(5)-1 Cortex Data Lakeの有効化

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > Activate Cortex Data Lake (Panorama-Managed Firewalls)

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

STEP 1

Panorama仮想アプライアンス、またはMシリーズ アプライアンスをセットアップします。詳細は、以下をご覧ください。

 

 

Panorama Administrator's Guide > Set Up the Panorama Virtual Appliance

https://docs.paloaltonetworks.com/panorama/8-1/panorama-admin/set-up-panorama/set-up-the-panorama-vi...


Panorama Administrator's Guide > Set Up the M-Series Appliance

https://docs.paloaltonetworks.com/panorama/8-1/panorama-admin/set-up-panorama/set-up-the-m-series-ap...

 

DNSとNTPの設定が必須です。

 

STEP 2

Panoramaの登録とサポート ライセンスのアクティベーションを行います。詳細は、以下をご覧ください。

 

Panorama Administrator's Guide >  Register Panorama and Install Licenses

 

https://docs.paloaltonetworks.com/panorama/8-1/panorama-admin/set-up-panorama/register-panorama-and-...

STEP 3

Cortex Data Lakeのアクティベーションを行います。

対応するPanoramaのシリアル番号と関連付けの上、Cortex Data LakeのAuth Codeをアクティベートします。

 

 

本記事作成時点ではLogging RegionとしてAmerica, Europeが選択可能。

 

LS_license_activation.png

 

STEP 4

アクティベートしたCortex Data LakeのQuantityとParts Descriptionの確認をします。

 

STEP 5

Panorama上でのプレミアム サポート ライセンス キーの取得します。

 

STEP 6

PanoramaでのCloud Services Pluginをインストールします。

 

STEP 7

アカウントの確認をします。スーパーユーザーとしてCSPにログインし、ワンタイム パスワードを生成し、それをPanoramaに入力する必要があります。

 

注:ワンタイム パスワードは生成から10分間のみ有効です。

 

STEP 8

PanoramaのCLIとGUIにてPanoramaとCortex Data Lakeの接続を確認します(Cloud Service Plugin 1.2以降で可能)。

 

STEP 9

HubにてCortex Data Lakeが正常に提供されていることを確認します。

 

STEP 10

後述の「(5)Cortex Data Lakeのログ ストレージ割当の設定」を行います。

 

STEP 11

後述の「(5)-2ファイアウォールからCortex Data Lakeへのログ転送の設定」を行います。

 

(5)-2 ファイアウォールからCortex Data Lakeへのログ転送の設定

  

本文書では概要と注意点のみをご紹介します。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > Forward Logs to Cortex Data Lake (Panorama-Managed Firewalls)

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

Prisma Access使用時の注意

Prisma Access remote networks / mobile usersを使用している場合のログ転送は手順が異なります。

その場合はPrisma Access Administrator’s Guideをご覧ください。

https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin

手順

STEP 1

ファイアウォールをPanoramaに管理対象デバイスとして追加します。

ファイアウォールはCortex Data Lakeとの同期のため、NTPの設定が必須です。

Panoramaに設定したものと同じNTPサーバーを指定してください。

 

STEP 2

管理対象ファイアウォールのためのCortex Data Lakeライセンスの取得とプッシュをします。

 

STEP 3

Panorama上でTemplateとDevice Groupを作成し、Cortex Data Lakeにログを転送するファイアウォールを追加します。

 

STEP 4

Templateで"ロギングサービスを有効化”をチェックし、ログを蓄積したいRegionを選択します。

PAN-OS 8.1からは"ロギングの複製(クラウドおよびオンプレミス)を有効化"をチェックすることで、Cortex Data Lake、Panorama、オンプレミスのログ収集機器へのログ送信も可能です。

 

STEP 5(オプション)

ファイアウォールの管理インターフェイスからCortex Data Lakeへのログ転送をしたくない場合、異なるインターフェイスからの送出が可能です。該当のトラフィックを許可するポリシーも必要になります。

 

STEP 6

Cortex Data Lakeに転送するログ種類の選択と、その転送設定を行います。

 

注:

Cortex Data Lakeとの通信に、ファイアウォールはTCP ポート 3978、PanoramaはTCP ポート 444を使用します。

Panoramaとインターネットの間にPaloalto Networksのファイアウォールがある場合、App-ID paloalto-shared-servicesとpaloalto-logging-servicesを許可するか、インターネット向きのTCP ポート 444と3978を使用したSSL通信を許可する必要があります。Paloalto以外のファイアウォールの場合は、「(7)Cortex Data Lakeで使用するTCPポートとFQDN」を参照の上、該当する通信を許可してください。

 

STEP 7

Panorama上で変更をコミットし、テンプレートとデバイスグループをプッシュします。

 

STEP 8

Cortex Data Lakeにログが転送されているか確認します。

PanoramaのMonitor > ログでログがあるか確認します。

  • Panorama 9.0では、"ロギング サービスから"のカラムがあり、参照しているログがCortex Data Lakeに保存されたものかを確認できます。

 

ファイアウォール上で以下のコマンドで、Cortex Data Lakeにログを転送しているか確認します。

 

> show logging-status

 

成功している場合の出力例

 

> show logging-status


-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1


>Log Collection Service
'Log Collection log forwarding agent' is active and connected to 65.154.226.13


config 2018/02/06 16:06:33 2018/02/07 02:09:29 48 48 2
system 2018/02/07 09:06:50 2018/02/07 09:07:09 960 959 416
threat Not Available Not Available 0 0 0
traffic 2018/02/07 09:08:52 2018/02/07 09:09:09 238501 238250 237706
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0

 

失敗例:Cortex Data Lakeへの転送を行っていない

Cortex Data Lakeに接続せず、Panoramaにログを転送しています。

 

> show logging-status

-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Panorama log forwarding agent is active
config Not Available Not Available 0 42 0
system 2018/01/31 13:58:43 2018/01/31 13:58:50 502 502 69
threat Not Available Not Available 0 0 0
traffic 2018/01/31 14:01:19 2018/01/31 14:01:27 534 532 355
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0

> CMS 1
Not Sending to CMS 1

>Log Collection Service
Not Sending to Log Collector



Cortex Data Lakeの証明書をファイアウォールが取得しているか確認する。以下は取得できていない例。

 

> request logging-service-forwarding certificate info

Certificate chain verification: failed
Failed to fetch lcaas certificate info.

admin@PA-VM1> request logging-service-forwarding certificate fetch

Server error : Logging Service License not installed. Install the license beforefetching a certificate.

 

 

上記の出力の場合、STEP 2"管理対象ファイアウォールのためのCortex Data Lakeライセンスの取得とプッシュ"を再度実行してください。

 

失敗例:Cortex Data Lakeへの転送を試みているが失敗している

 

> show logging-status

-----------------------------------------------------------------------------------------------------------------------------
Type Last Log Created Last Log Fwded Last Seq Num Fwded Last Seq Num Acked Total Logs Fwded
-----------------------------------------------------------------------------------------------------------------------------
> CMS 0
Not Sending to CMS 0
> CMS 1
Not Sending to CMS 1

>Log Collection Service
'Log Collection log forwarding agent' is active but not connected

config Not Available Not Available 0 42 0
system Not Available Not Available 0 516 0
threat Not Available Not Available 0 0 0
traffic Not Available Not Available 0 635 0
hipmatch Not Available Not Available 0 0 0
gtp-tunnel Not Available Not Available 0 0 0
userid Not Available Not Available 0 0 0
auth Not Available Not Available 0 0 0

 

例えばファイアウォールからインターネットへのTCP ポート 3978の通信が遮断されている場合などに上記の出力となります。該当の通信が適切なルートに向けて出力されているか、またTCP 3978が他のファイアウォールなどにブロックされていないかご確認ください。

 

STEP 9

長期に渡ってログをアーカイブしたい、SOC、または内部監査といった目的がある場合、Log Forewarding Appを使用できます。このアプリケーションはCortex Data Lakeから外部のsyslogサーバー、電子メールサーバーへのログ転送を可能にします。

詳細はLog Forwarding App Getting Started Guideを御覧ください。

 

(6)Cortex Data Lakeのログ ストレージ割当の設定

Hubにてログ ストレージ割当をログ タイプごとに行う必要があります。デフォルトでは割当がされておらず、ログ ストレージ割当を行わないと、ログはCortex Data Lakeで保存されません。

 

本文書では概要をご紹介します。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > Configure Log Storage Quota on the Cortex Data Lake

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

 

STEP 1

Hub (https://apps.paloaltonetworks.com/apps)にサイン インします。

サイン インできない場合はCustomer Support Portalにて適切なユーザー ロールを割り当てる必要があります。

 

STEP 2

ログ ストレージ割当を行いたいCortex Data Lakeのインスタンスを選択します。

複数のCortex Data Lakeのインスタンスを保持している場合は、Cortex Data Lakeのタイルにマウスを重ねてください。お客様のアカウント配下で利用可能なインスタンスのリストから、該当するものを選択します。

 

STEP 3

各タイプのログへ割り当てるストレージ量を調整するため、Configrationを選択します。

 

STEP 4

ログの生成元(Firewall 等)をクリックして展開し、各ログ タイプごとに設定をします。

  • Quota:ストレージ送料に対するパーセンテージでの割当。
  • (オプション)MAX DAYS:Cortex Data Lakeによるログの保持期間。最大2000日
  • MIN RETENTION WARTINING:最大保持期間到達の前にWarningを行う閾値。この閾値に達すると、ファイアウォールはシステム ログに通知を生成します。設定がない場合通知はありません。

STEP 5

Applyにて設定を適用します。

 

(7)Cortex Data Lake状態の確認

Hub (https://apps.paloaltonetworks.com/apps) > Statusからサービスの状態を確認できます

 

詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > View Cortex Data Lake Status

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

(8)Cortex Data Lakeで使用するTCPポートとFQDN

 

PanoramaとファイアウォールはTCPポート444と3978を用いて、ログを転送します。App-ID “paloalto-logging-service”にて識別が可能です。詳細は以下をご覧ください。

 

Cortex Data Lake Getting Started Guide > TCP Ports and FQDNs Required for Cortex Data Lake

https://docs.paloaltonetworks.com/cortex/cortex-data-lake/cortex-data-lake-getting-started/get-start...

Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
41/41
最終更新:
‎03-30-2020 11:36 PM
更新者:
 
寄稿者: