Palo Alto Networks Device上で使用されてないポリシーの特定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

 

概要

このドキュメントは、Palo Alto Networks Device上で使用されてないポリシーの特定方法を紹介しています。

詳細

Web UIを利用した場合

使用されてないポリシーを特定するには、以下を実施します。

  1. Policies > Securityの順にクリックします。
  2. 表示された画面下にある、Highlight Unused Rulesにチェックをいれます。
    pastedImage_0.png
  • データプレーンが起動してから、未使用のルールがハイライト表示されます。
  • データプレーンが起動した際に、未使用のルールに関わるカウンター値は初期化され、それらはデータプレーンの再起動とともにクリアされます。

 

ハイライト表示されたルールが使用されているのかどうか確認するためには、Security Policiesレポートを

生成して確認します。このレポートはルール、セッションに関するバイト数、セッションの量を表示します。

  1. Monitor > Reportsの順にクリックします。
  2. 表示された画面の右端のTraffic Reports > Security Rulesを順にクリックします。
  3. 日数を指定し、レポートを作成します。
    pastedImage_1.png

 

CLIを利用した場合

vsys1における使用されてないポリシーを表示させる場合、以下のコマンドを実行します。

> show running rule-use rule-base security type unused vsys vsys1

 

その他の使用されてないポリシーを表示させる場合 (NAT, decryption, app-override, PBF, QOSや Captive Portal)は、<option>に必要な引数を指定することで表示できます。

> show running rule-use rule-base <option> type unused vsys vsys1

<option> に指定できる引数は以下のいずれかになります。

  app-override   application override policy

  cp             captive portal policy

  decryption     ssl decryption policy

  dos            dos protection policy

  nat            nat policy

  pbf            policy based forwarding policy

  qos            qos policy

  security       security policy

 

WebUIのケースと同じように、CLIでの表示もデータプレーンが起動してから使用されてないポリシーが表示されます。

 

著: nayubi