ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Fatal exception with factory reset on PA-200 PAN-OS 6.1.16 and later https://live.paloaltonetworks.com/t5/Management-Articles/Fatal-exception-with-factory-reset-on-PA-200-PAN-OS-6-1-16-and/ta-p/193002   事象 PA-200 ファイアウォールをPAN-OS 6.1.16以降(7.X及び8.Xを除く)でファクトリー リセットを実施した際、"Fatal exception" エラーがコンソール ログに出力され、PA-200が正常に起動しなくなります。    Fatal exception: panic in 5 seconds ..Kernel panic - not syncing: Fatal exception 注: このメッセージが表示された場合、メンテナンス モードでの起動もできません。   診断 PA-200 ファイアウォールをPAN-OS 6.1.16以降(7.Xおよび8.Xを除く)でファクトリー リセットを実施した後、コンソール アクセスを介して次の出力が繰り返し表示され、デバイスを起動できません。 ファクトリー リセットを実行した後にこのエラー メッセージが表示された場合は、下記の「解決方法」の項の指示に従ってシステムを修復してください。   注: この問題はPAN-OS 7.X及び8.X では発生しません。そのため、6.1.16以降で動作しているPA-200 ファイアウォールをファクトリー リセットする必要がある場合は、この問題を回避する為にファクトリー リセット実行前にPAN-OS 7.X以降にアップグレードすることをお勧めします。 Fatal exception: panic in 5 seconds ..Kernel panic - not syncing: Fatal exception Rebooting in 5 seconds..     Welcome to the PanOS Bootloader. : <omit> : Traceback (most recent call last):   File "/usr/local/bin/mrt", line 12, in ?     import cpldlib   File "/usr/lib/python2.4/site-packages/cpldlib.py", line 1     :52  rstory     ^ SyntaxError: invalid syntax Traceback (most recent call last):   File "/usr/local/bin/mrt", line 12, in ?     import cpldlib   File "/usr/lib/python2.4/site-packages/cpldlib.py", line 1     :52  rstory     ^ SyntaxError: invalid syntax   解決方法 お使いのPA-200 ファイアウォールでこの問題が発生した場合は以下の手順に従って修復できるか試してください。   手順1. 機器の起動中にEntryが表示されてから5秒以内に "other" と入力する。 Step1. Type in "other" during the count down steps 手順2. ”Disk Image" を選択する。 Step2. Select "Disk image" 手順3. "Revert to X.X.X" で6.1.X 以外を選択する。 Step3. Select "Revert to X.X.X" 手順4. "Reboot" を選択し再起動する。 Step4. Select "Reboot" "other" オプションを用いてもメンテナンス モードで起動できない場合は復旧可能な他の選択肢はありません。システムを復旧するためにサポートにご連絡ください。
記事全体を表示
tsakurai ‎01-21-2018 11:26 PM
4,083件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 The Difference Between Receive Errors for Hardware and Logical Interface Counters https://live.paloaltonetworks.com/t5/Learning-Articles/The-Difference-Between-Receive-Errors-for-Hardware-and-Logical/ta-p/59039   Hardware interface counters read from CPUの受信エラーは物理インターファイスの受信した全てのエラー数です。その値は、主に、L2-L4の構文解析、ヘッダーエラーで、カウンターはハードウェアとしながら、 大部分は論理的なエラー(CRC、フレーミング、もしくはハードウェア外の他のエラー)によるものです。よくあるタイプとして、VLANタグの長さが不正、期待されていないVLANタグ、サポートされていないL2プロトコル、間違ったIPチェックサム、TCP/UDPチェックサム・エラー、TCP/UDPポート0、間違ったTCPフラグなどです。継続的に計上する原因として、よくあることとして、STP/LLDP/UDLDフレームがL3ファイアウォールポートに送付されている場合があります(これらのプロトコルはL3ポートではサポートされていないので、ドロップされ、受信エラーとしてカウントされます)。   Logical interface counter read from CPUの受信エラーはHA2インターフェイスで生じるエラーのみです。このカウンターはHA2 High Availabilityインターフェイスを設定したときにのみカウントします。 例) show interface ethernet1/xコマンドでカウンター値を表示した場合の参照例です。 > show interface ethernet1/3   -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: auto/auto/auto MAC address:   Port MAC address 00:1b:17:47:38:12 Operation mode: layer3 Untagged sub-interface support: no ... --------------------------------------------------------------------------------   Hardware interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                           206948822 bytes transmitted                        7785678 packets received                         2471785 packets transmitted                      50916 receive errors                           7820 packets dropped                          0 --------------------------------------------------------------------------------   Logical interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                           164031355 bytes transmitted                        7785678 packets received                         2287119 packets transmitted                      50916 receive errors                           0 packets dropped                          47064 packets dropped by flow state check      32 forwarding errors                        0 no route                                 0 arp not found                            2 neighbor not found                       0 neighbor info pending                    0 mac not found                            0 packets routed to different zone         0 land attacks                             0 ping-of-death attacks                    0 teardrop attacks                         0 ip spoof attacks                         0 mac spoof attacks                        0 ICMP fragment                            0 layer2 encapsulated packets              0 layer2 decapsulated packets              0 -------------------------------------------------------------------------------- 著書: ncackov  
記事全体を表示
kkondo ‎08-15-2017 07:01 PM
6,537件の閲覧回数
0 Replies
「WildFire」のプライベートクラウドで実現する「Palo Alto Networks WF-500アプライアンス」をご紹介します。
記事全体を表示
tkobayashi ‎07-06-2017 07:24 PM
8,227件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 CLI Commands to View Hardware Status https://live.paloaltonetworks.com/t5/Learning-Articles/CLI-Commands-to-View-Hardware-Status/ta-p/61027     概要 この資料では、Palo Alto Networksデバイスのハードウェアの状態についての情報を提供する、CLIコマンドについて記載しています。   注:PAN-OS 5.0以降のバージョンに対応しています。この資料に記載のコマンドは、Palo Alto Networks VM-Seriesプラットフォームには対応していません。   詳細: ハードウェアのアラームを確認する ("False"は"no alarm"を示しています): > show system state | match alarm chassis.alarm: { } chassis.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, } env.s0.fan.0: { 'alarm': False, 'avg': True, 'desc': Fan #1 Operational, 'min': 1, } env.s0.fan.1: { 'alarm': False, 'avg': True, 'desc': Fan #2 Operational, 'min': 1, } env.s0.power.0: { 'alarm': False, 'avg': 1.051, 'desc': 1.05V Power Rail, 'hyst': 0.007, 'max': 1.130, 'min': 0.980, 'samples': [ 1.045, 1.055, 1.055, ], } env.s0.power.1: { 'alarm': False, 'avg': 1.094, 'desc': 1.1V Power Rail, 'hyst': 0.007, 'max': 1.180, 'min': 1.030, 'samples': [ 1.104, 1.084, 1.094, ], } env.s0.power.2: { 'alarm': False, 'avg': 1.214, 'desc': 1.2V Power Rail, 'hyst': 0.014, 'max': 1.350, 'min': 1.080, 'samples': [ 1.211, 1.221, 1.211, ], } env.s0.power.3: { 'alarm': False, 'avg': 1.807, 'desc': 1.8V Power Rail, 'hyst': 0.018, 'max': 1.980, 'min': 1.620, 'samples': [ 1.807, 1.807, 1.807, ], } env.s0.power.4: { 'alarm': False, 'avg': 2.490, 'desc': 2.5V Power Rail, 'hyst': 0.025, 'max': 2.750, 'min': 2.250, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.power.5: { 'alarm': False, 'avg': 3.340, 'desc': 3.3V Power Rail, 'hyst': 0.033, 'max': 3.630, 'min': 2.970, 'samples': [ 3.340, 3.340, 3.340, ], } env.s0.power.6: { 'alarm': False, 'avg': 4.980, 'desc': 5.0V Power Rail, 'hyst': 0.050, 'max': 5.500, 'min': 4.500, 'samples': [ 4.980, 4.980, 4.980, ], } env.s0.power.7: { 'alarm': False, 'avg': 2.490, 'desc': 3.0V RTC Battery, 'hyst': 0.175, 'max': 3.500, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.thermal.0: { 'alarm': False, 'avg': 30.500, 'desc': Temperature at MP [U6], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 30.500, 30.500, 30.500, ], } env.s0.thermal.1: { 'alarm': False, 'avg': 34.500, 'desc': Temperature at DP [U7], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 34.500, 34.500, 34.500, ], } ha.runtime.device.alarm: False hw.slot0.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, }   その他のコマンド例:     > show system state filter env.* | match alarm     > show system state | match fan     > show system state | match power   直近のクリティカルなハードウェアのアラームを確認する (イタリック体の文字のオプションを決めるために、tabキーを使用します:Backward = 直近の日時、forward = 最も古い日時) > show log system severity greater-than-or-equal critical direction equal backward Time          Severity Subtype Object EventID ID Description =============================================================================== 01/20 06:51:58 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 12/23 14:29:21 critical ha            unknown 0  HA Group 1: moved from state Passive to state Active 12/23 14:29:12 critical ha            unknown 0  HA Group 1: moved from state Non-Functional to state Passive 12/23 14:27:15 critical general        unknown 0  Chassis Master Alarm: HA-event 12/23 14:27:15 critical ha            unknown 0  HA Group 1: moved from state Active to state Non-Functional 12/23 14:27:15 critical ha            unknown 0  HA Group 1: dataplane is down 12/23 14:27:01 critical general        unknown 0  Heartbeat triggering a restart of 'data-plane' from the control-plane 11/09 17:39:44 critical general        unknown 0  Chassis Master Alarm: Fans 11/09 17:39:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/29 08:52:26 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 09/20 09:09:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/20 09:09:44 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Fan #3 Speed: 5776.98 above high-limit 5750.00 06/20 12:37:04 critical general        unknown 0  Chassis Master Alarm: Fans 06/20 12:37:04 critical general        unknown 0  Fan #1 Speed: 5845.59 above high-limit 5750.00   温度、ファン、電源の状態を確認する: > show system environmentals ----Thermal---- Slot   Description                         Alarm      Degrees C S0    Temperature at 3830 [U85]           False      43.33 S0    Temperature at LION [U86]           False      43.83 S0    Temperature at Phy [U87]            False      38.33 S0    Temperature at CPLD [U88]           False      44.50   ----Fans---- Slot   Description                         Alarm      RPMs S0    Fan #1 RPM                          False      14673 S0    Fan #2 RPM                          False      14465 S0    Fan #3 RPM                          False      14261 S0    Fan #4 RPM                          False      15004   ----Power---- Slot   Description                         Alarm      Volts S0    1.0V Power Rail                     False      0.98 S0    1.2V Power Rail                     False      1.20 S0    1.5V Power Rail                     False      1.51 S0    1.8V Power Rail                     False      1.80 S0    2.5V Power Rail                     False      2.48 S0    3.3V Power Rail                     False      3.31 S0    5.0V Power Rail                     False      5.02 S0    3.3V RTC Battery                    False      3.22   ログの中でハードウェアのアラームを確認する: > less mp-log ehmon.log * * Ehmon (v3.0) * Jan 07 01:54:26 Start time. Jan 07 01:54:28 Loading: libfans.so... done Jan 07 01:54:28 Loading: libpower.so... done Jan 07 01:54:28 Loading: libthermal.so... done Jan 07 01:55:28 Sensor Alarm [True ]: Fan #1 RPM = 8472 Jan 07 01:55:48 Sensor Alarm [False]: Fan #1 RPM = 8509 Jan 07 01:56:48 Sensor Alarm [True ]: Fan #1 RPM = 8437 Jan 07 01:57:28 Sensor Alarm [False]: Fan #1 RPM = 8544   注:アラームのトリガーとなった状態が解消されることで、アラームを示していたLEDは消えているはずです。     著者:panagent
記事全体を表示
hshirai ‎12-15-2016 12:19 AM
10,431件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a High Availability Replacement Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-High-Availability-Replacement-Device/ta-p/60397     概要 この文書は、高可用性 (HA) システム中のデバイスをRMAする場合の、交換デバイスの設定方法について記載します。   手順 設定のバックアップを収集 故障したデバイスの設定のバックアップを取得する: [ Device ] > [セットアップ ] > [ 操作 ] > [ 設定の管理 ] > [ デバイス状態のエクスポート ] をクリックします。 デバイス状態には、デバイスの設定が含みます。 注: Panoramaからデバイスのバックアップを取得するには、[ Panorama ] > [ 管理対象デバイス ] を開き、適切なデバイスのバックアップ欄の中の「Manage...」をクリックします。あるいは、CLIからSCPやTFTPを使用してコンピュータにデバイス状態をエクスポートできます。 > scp export device-state device to username@serverip:/path/ 以下のコマンドを使用して、故障した機器をシャットダウンします: > request shutdown system 新しい機器をラックに載せ、機器の管理インターフェイスに接続します。   新しいデバイス上で、基本的な設定を実施 ライセンスを転送します。参照:How to Transfer Licenses to a Spare Device (任意) 古いファイアウォールの操作モードに合わせるために、新しいファイアウォールのモードを設定します。この作業にはシリアルポートでの接続が必要です。 以下のCLIコマンドを入力して、ファイアウォールのメンテナンスモードに入ります: > debug system maintenance-mode メンテナンス パーティションに入ってブートするために、ブート シーケンス中に"maint"と入力します。 メイン メニューから、操作モードとして"Set FIPS Mode"または"Set CCEAL 4 Mode"を選択します。 交換したデバイスへの管理アクセスを設定します。 コンソールに接続し、初期の資格情報を使用してログインします: ユーザー名:admin パスワード:admin 以下のCLIコマンドを使用して管理IPアドレス、ネットマスク、ゲートウェイ、DNS、そして更新サーバーを設定します: > configure # set deviceconfig system ip-address <value> netmask <value> default-gateway <value> # set deviceconfig system dns-setting servers primary 4.2.2.2 # set deviceconfig system update-server updates.paloaltonetworks.com # commit # exit テストとしてドメインに対してPingをします。例:(訳注1) > ping host paloaltonetworks.com ライセンス サーバーからライセンスを取得します。 [ Device ] > [ ライセンス ] を開きます。 「ライセンス サーバーからライセンス キーを取得」をクリックします。 URLフィルタリングのライセンスを所有していることを確認し、URLフィルタリングが有効化されていることと、そのデータベースのダウンロードに成功していることを確認します。 注:「今すぐダウンロード」というリンクが表示されている場合、データベースはダウンロードされていません。 交換したデバイスに、既存の対となるHAデバイスと同じGlobalProtectクライアントと、同じバージョンのPAN-OSをインストールします。 GlobalProtectクライアントのインストール [ Device ] > [ GlobalProtectクライアント ] を開きます。 適切なバージョンのクライアントをダウンロードして有効にします。 PAN-OSのインストール [ Device ] > [ ソフトウェア ] を開きます。 適切なイメージをダウンロードしてインストールします。 再起動します。 ダイナミック更新が、対となるHAとして同じバージョンを保持していることを確認します。同じバージョンではない場合、適切なバージョンをダウンロードしてインストールします: [ Device ] > [ ダイナミック更新 ] > [ ダウンロード ] > [ インストール ] デバイスがPanoramaから管理されている場合、古いシリアルナンバーを新しいシリアルナンバーと置き換えます: > replace device old <Old Serial #> new <New Serial #>   設定の復元 [ Dev ice ] > [ セットアップ ] > [ 操作 ] を開きます。 「デバイス状態のインポート」をクリックして、故障したデバイスから、以前バックアップしておいた設定をインポートします。 コミットをクリックし、デバイス状態のインポートを完了させます。 (任意) 新しいファイアウォールの操作状態を古いファイアウォールに合わせます。例えば、マルチ仮想システム (multi-vsys) 機能 を有効にしていたファイアウォールのために multi-vsys機能 を有効に します。 > set system setting multi-vsys on > set system setting jumbo-frame on 新しいデバイスが、アクティブなデバイスに設定をプッシュしないように、確実にパッシブ状態にしておきます。 新しい機器を一時停止させるために、CLIにて以下のコマンドを実行します: > request high-availability state suspend あるいは GUIから、[ Device ] > [ 高可用性 ] > [ 操作コマンド ] > [ ローカル デバイスの一時停止(訳注2)] あるいは 設定変更を実施: [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] を開き、"設定の同期化の有効化"オプションのチェックボックスのチェックを外す。 [ 選択設定 ] 内のプリエンプティブを無効にする。 もっとも大きいデバイスのプライオリティ値 (255) でデバイスを設定する。 コミットを実行する。 注:デバイスは、この設定ではアクティブにはなりません。参照:High Availability Synchronization 交換したデバイスが、アクティブなデバイスと同じ設定を保持していることを確認します。 [ Dashboard ] タブを開き、高可用性ウィジェットを確認します。 注:高可用性ウィジェットが表示されていない場合、[ ウィジェット ] > [ システム ] > [ 高可用性 ] をクリックします。 設定が同じでない場合、[ Device ] > [ 高可用性 ] を開き、アクティブなデバイスから"Push configuration to peer"をクリックします。    アクティブな機器にログインします。[ Device ] > [ 設定監査 ] を開き、"Running Config"と "Peers Running Config"間で設定監査を行います。両方の設定が同じであることを確認します。相違が見られる場合、パッシブな機器を手動にて設定を試みます。 故障したデバイスの設定のバックアップが取得されていなかった場合、設定に相違が起きる可能性があり、新しいデバイスはアクティブな機器と同じ設定を持たないことになります。このような場合、手動による設定が必要となります。 交換したデバイスにて、設定の同期を有効にし ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] )、プリエンプティブを有効にします ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ 選択設定 ] )。 コミットをクリックして、変更を反映します。   コミット後、残りのケーブルを新しいデバイスに接続します。     訳注1:2016/10/31現在、paloaltonetworks.comや更新サーバーはPingに対して応答を返さなくなっています。更新サーバーへの接続確認は、WebUIでは、[Device] > [ソフトウェア]から[今すぐチェック]をクリックし接続エラー出ないことを確認するなどの方法で行ってください。 訳注2:[Suspend local デバイス]の表記となっている場合もあります。   著者:hshah
記事全体を表示
hshirai ‎11-10-2016 12:15 AM
4,737件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Display Interface MAC Addresses https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Display-Interface-MAC-Addresses/ta-p/61225   概要 このドキュメントではインターフェイスの MAC アドレスを表示する方法ついて記述しています。   詳細 以下のコマンドを実行することで HA クラスターを含むファイアウォール上のインターフェイスのMACアドレスを表示できます。 例えばファイアウォール上の全てのインターフェイスの MAC アドレスを表示する場合、次のコマンドを実行します: > show interface all total configured hardware interfaces: 15 name                    id    speed/duplex/state        mac address -------------------------------------------------- ----------------------------- ethernet1/1             16    1000/full/up              00:1b:17:05:2c:10 ethernet1/2             17    1000/full/up              00:1b:17:05:2c:11 ethernet1/3             18    unknown/unknown/down      00:1b:17:00:0b:12 ethernet1/4             19    unknown/unknown/down      00:1b:17:00:0b:13 ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14 ethernet1/6             21    1000/full/up              00:1b:17:00:0b:15 ethernet1/7             22    unknown/unknown/down      00:1b:17:00:0b:16 ethernet1/8             23    100/full/up               00:1b:17:00:0b:17 ethernet1/9             24    100/full/up               00:1b:17:00:0b:18 ethernet1/10            25    100/full/up               00:1b:17:00:0b:19 ethernet1/11            26    unknown/unknown/down      00:1b:17:00:0b:1a ethernet1/12            27    unknown/unknown/down      00:1b:17:00:0b:1b vlan                    1     [n/a]/[n/a]/up            00:1b:17:00:0b:01 loopback                3     [n/a]/[n/a]/up            00:1b:17:00:0b:03 tunnel                  4     [n/a]/[n/a]/up            00:1b:17:00:0b:04   total configured logical interfaces: 21   特定のインターフェイスを表示する場合、次のコマンドを実行します: > show interface ethernet1/1   例: > show interface ethernet1/1 -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: auto/auto/up MAC address:   Port MAC address 00:1b:17:05:2c:10 Operation mode: ha -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Operation mode: ha Interface IP address: 2.2.2.2/24 Interface management profile: N/A Service configured: Zone: N/A, virtual system: N/A -------------------------------------------------- ----------------------------- Physical port counters read from MAC: -------------------------------------------------- ----------------------------- rx-broadcast                  0   HA クラスターの MAC アドレスを表示する場合、次のコマンドを実行します: > show high-availability state   For example: > show high-availability state Group 1:   Local Information:     Version: 1     State: active     Priority: 200     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Passive Hold Interval: 10 ms     Passive Link State: auto     Hello Message Interval: 1000 ms     Management IP Address: 10.30.14.7; netmask: 255.255.255.0     HA1 IP Address: 1.1.1.2; netmask: 255.255.255.0     HA1 MAC Address: 00:30:48:5d:45:f7     HA1 encryption enabled: False     HA2 MAC Address: 00:1b:17:01:18:06     Running Configuration: synchronized     State Synchronization: synchronized     Application Content Compatibility: Match     Threat Content Compatibility: Match     VPN Client Software Compatibility: Match   Peer Information:     Connection status: up     Version: 1     State: passive     Priority: 1     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Management IP Address: 10.30.14.6     HA1 IP Address: 1.1.1.1     HA1 MAC Address: 00:30:48:5d:0c:c1     HA2 MAC Address: 00:1b:17:01:14:06   HA クラスターの L3 インターフェイスの場合、show interface all コマンドで表示される MAC アドレスは仮想 MAC になります。 仮想 MAC のフォーマットは次の様になります:00-1B-17-00-xx-yy 00-1B-17: ベンダーID 00: 固定 xx: HAグループ ID yy: インターフェイス ID   次のコマンドは Active-Active の HA クラスターの仮想 MAC と仮想 IP を表示します: > show high-availability virtual-address   例: > show high-availability virtual-address Total interfaces with virtual address configured:   2 Total virtual addresses configured:                 2 -------------------------------------------------- ------------------------------ Interface: ethernet1/1   Virtual MAC:               00:1b:17:00:05:10   Virtual MAC from the peer: 00:1b:17:00:85:10   107.204.232.53                          Active:yes    Type:floating -------------------------------------------------- ------------------------------ Interface: ethernet1/6   Virtual MAC:               00:1b:17:00:05:15   Virtual MAC from the peer: 00:1b:17:00:85:15   192.168.90.1                            Active:yes    Type:floating -------------------------------------------------- ------------------------------   次のコマンドは Active-Passive の HA クラスターの仮想 MAC を表示します: > show interface all ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14   上記の例では HA グループ ID = 0b (16進数) = 11 (10進数)、インターフェイス ID = 14 (16進数) = 20 (10進数) となります。     著者:gcapuno
記事全体を表示
oconnellm ‎08-03-2016 02:06 AM
5,570件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Interpret: show system resources https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Interpret-show-system-resources/ta-p/59364     show system resourcesのコマンドは、実行した時点でのCPUやメモリーを含んだManagement Plane (MP)のリソース使用率を表示します。これはLinuxの'top'コマンドと同様の物です。   show system resourcesは使用しているメモリーの量、利用可能なメモリーの量、およびMPがSWAPを使用しているかどうかなどの情報も表示します。 一貫してSWAPの使用率が高い場合、ファイアウォール上のプロセスがメモリーの解放に失敗しているかもしくはメモリーが不足している可能性があります。   MPが長時間SWAPを使用しているのを確認するには、以下の出力例でハイライトしたkswapd プロセスを参照します。このプロセスが何時間も動いている場合、絶えずメモリースワップが動いていることになりメモリーの使用量を減らす必要があるかもしれません。   重要な値はSwap、 Mem、 CPU 待機時間 (%wa)、 仮想メモリー使用率 (VIRT) 、そして CPU 使用率 (%CPU)です。これらの値はMP CPUの高負荷やMP反応の遅延の原因調査に役立ちます。CPU 待機時間が高い場合、MPはプロセスがCPUを解放するのを待っている状態であることを示します。   メモリーやCPUの使用率をリアルタイムで表示したい場合はこのコマンドを実行します:show system resources follow  このコマンド出力の見本が以下です:   admin@PA-2050(active)> show system resources   top - 21:20:50 up 2 days,  9:13,  1 user,  load average: 0.00, 0.03, 0.01 Tasks:  94 total,   1 running,  93 sleeping,   0 stopped,   0 zombie Cpu(s):  3.7%us,  2.0%sy,  1.0%ni, 92.8%id,  0.3%wa ,  0.0%hi,  0.1%si,  0.0%st Mem:     995888k total,   589744k used,   406144k free,     6360k buffers Swap:   2008084k total,   229308k used,  1778776k free,   143536k cached     PID USER      PR  NI  VIRT   RES  SHR S %CPU %MEM    TIME+  COMMAND           28868       20   0  4468 1020  800 R    4  0.1   0:00.06 top               2110       15  -5 44732  10m 1284 S    2  1.1  41:27.91 sysd                  1       20   0  1836  560  536 S    0  0.1   0:02.37 init                  2       20   0     0    0    0 S    0  0.0   0:00.00 kthreadd              3       RT   0     0    0    0 S    0  0.0   0:00.99 migration/0           4       20   0     0    0    0 S    0  0.0   0:00.01 ksoftirqd/0           5       RT   0     0    0    0 S    0  0.0   0:00.87 migration/1           6       20   0     0    0    0 S    0  0.0   0:00.02 ksoftirqd/1           7       20   0     0    0    0 S    0  0.0   0:00.02 events/0              8       20   0     0    0    0 S    0  0.0   0:00.00 events/1              9       20   0     0    0    0 S    0  0.0   0:00.04 khelper              12       20   0     0    0    0 S    0  0.0   0:00.00 async/mgr           112       20   0     0    0    0 S    0  0.0   0:00.00 sync_supers         114       20   0     0    0    0 S    0  0.0   0:00.00 bdi-default         115       20   0     0    0    0 S    0  0.0   0:00.50 kblockd/0           116       20   0     0    0    0 S    0  0.0   0:00.28 kblockd/1           125       20   0     0    0    0 S    0  0.0   0:00.00 ata/0               126       20   0     0    0    0 S    0  0.0   0:00.00 ata/1               127       20   0     0    0    0 S    0  0.0   0:00.00 ata_aux             132       20   0     0    0    0 S    0  0.0   0:00.00 khubd               135       20   0     0    0    0 S    0  0.0   0:00.00 kseriod             154       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/0            155       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/1            167       20   0     0    0    0 S    0  0.0   0:22.37 kswapd0             168       20   0     0    0    0 S    0  0.0   0:00.00 aio/0               169       20   0     0    0    0 S    0  0.0   0:00.00 aio/1               170       20   0     0    0    0 S    0  0.0   0:00.00 nfsiod              723       20   0     0    0    0 S    0  0.0   0:00.00 octeon-ethernet     741       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_0           743       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_1           750       20   0     0    0    0 S    0  0.0   0:01.22 mtdblockd           773       20   0     0    0    0 S    0  0.0   0:00.00 usbhid_resumer      812       20   0     0    0    0 S    0  0.0   0:08.53 kjournald           865       16  -4  2008  404  400 S    0  0.0   0:01.44 udevd             1699       20   0     0    0    0 S    0  0.0   0:00.23 kjournald         1700       20   0     0    0    0 S    0  0.0   0:00.00 kjournald         1786       20   0     0    0    0 S    0  0.0   0:09.67 flush-8:0         1845       20   0  2008  620  572 S    0  0.1   0:01.71 syslogd           1848       20   0  1892  332  328 S    0  0.0   0:00.03 klogd             1856 rpc       20   0  2084  492  488 S    0  0.0   0:00.00 portmap           1874       20   0  2116  652  648 S    0  0.1   0:00.05 rpc.statd         1943       20   0  6852  632  548 S    0  0.1   0:00.37 sshd              1991       20   0  6788  396  392 S    0  0.0   0:00.00 sshd              2000       20   0  3280  616  612 S    0  0.1   0:00.02 xinetd            2019       20   0     0    0    0 S    0  0.0   0:00.00 lockd             2020       20   0     0    0    0 S    0  0.0   0:17.21 nfsd              2021       20   0     0    0    0 S    0  0.0   0:16.13 nfsd              2022       20   0     0    0    0 S    0  0.0   0:17.91 nfsd              2023       20   0     0    0    0 S    0  0.0   0:18.69 nfsd              2024       20   0     0    0    0 S    0  0.0   0:18.05 nfsd              2025       20   0     0    0    0 S    0  0.0   0:20.57 nfsd              2026       20   0     0    0    0 S    0  0.0   0:20.01 nfsd              2027       20   0     0    0    0 S    0  0.0   0:21.30 nfsd              2030       20   0  2360  676  580 S    0  0.1   0:00.78 rpc.mountd        2093        0 -20 62128 4608 1912 S    0  0.5   5:40.59 masterd_core      2096       20   0  1888  456  452 S    0  0.0   0:00.00 agetty            2103        0 -20 26132 1348 1000 S    0  0.1   0:18.85 masterd_manager   2112        0 -20 30196 4820 1068 S    0  0.5   9:06.26 masterd_manager   2116       20   0 89320 4144 1912 S    0  0.4   0:03.50 dagger            2117       30  10 38644 3628 1664 S    0  0.4   9:34.83 python            2118       20   0 76972 3800 1708 S    0  0.4   0:07.12 cryptod           2119       20   0  164m 1948 1224 S    0  0.2   1:29.02 sysdagent         2135       20   0  7212  644  640 S    0  0.1   0:00.09 tscat             2136       20   0 69884 1088  940 S    0  0.1   0:53.74 brdagent          2137       20   0 30080 1152  968 S    0  0.1   0:21.93 ehmon             2138       20   0 45560 1196 1032 S    0  0.1   0:00.81 chasd             2286       20   0     0    0    0 S    0  0.0   0:00.04 kjournald         2343       20   0  464m 204m 4268 S    0 21.1  88:22.09 mgmtsrvr          2364       20   0  390m  78m  10m S    0  8.1  88:19.21 devsrvr           2372       20   0 88812 2344 1788 S    0  0.2   0:00.85 ikemgr            2373       20   0  239m  11m 2004 S    0  1.2   0:04.17 logrcvr           2374       20   0 96188 2320 1808 S    0  0.2   0:00.60 rasmgr            2375       20   0 95036 1148 1008 S    0  0.1   0:00.46 keymgr            2376       20   0  199m 1516 1180 S    0  0.2   0:00.74 varrcvr           2377       17  -3 54936 2272 1524 S    0  0.2   0:29.27 ha_agent          2378       20   0 86468 1904 1380 S    0  0.2   0:02.32 sslmgr            2379       20   0 55576 3016 1408 S    0  0.3   0:01.16 dhcpd             2380       20   0  168m  33m  32m S    0  3.5   0:15.94 useridd           2381       20   0 73352 4024 1712 S    0  0.4   0:06.71 dnsproxyd         2382       20   0 72592 1928 1512 S    0  0.2   0:00.87 pppoed            2383       20   0  133m 3848 1832 S    0  0.4   0:27.02 routed            2384       20   0  127m 4348 3460 S    0  0.4   0:16.43 authd             3014       20   0 25320 2140 1344 S    0  0.2   0:02.84 snmpd             3051 nobody    20   0  203m  41m 4888 S    0  4.3  10:46.93 appweb3           3640 nobody    20   0  133m 4788 1732 S    0  0.5   0:16.00 appweb3           3654 nobody    20   0  113m 2556 1916 S    0  0.3   0:08.02 appweb3           6952       20   0  2900  628  572 S    0  0.1   0:00.11 crond             9129       20   0  3980 3848 2956 S    0  0.4   0:00.06 ntpd              26980       20   0 21324 2440 2012 S    0  0.2   0:00.18 sshd              26991 admin     20   0 21324 1504 1060 S    0  0.2   0:00.03 sshd              26992 admin     20   0 95068  21m  10m S    0  2.2   0:03.55 cli               28865 admin     20   0  2976  668  564 S    0  0.1   0:00.06 less              28867       20   0  3832 1192 1056 S    0  0.1   0:00.04 sh                28869       20   0  1940  540  464 S    0  0.1   0:00.00 sed                          著者:sdarapuneni  
記事全体を表示
oconnellm ‎07-25-2016 10:29 PM
12,585件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check Throughput of Interfaces https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-Throughput-of-Interfaces/ta-p/58812   概要 以下のコマンドを使用したときは、オフロードされたトラフィックは表示されません: > show system statistics session   このドキュメントでは " show system state browser " コマンドを使用してインターフェイスのスループットを確認する方法について記述しています。   手順 全ての統計情報を確認するために " show system state browser " コマンドを実行します: > show system state browser Shift + L を押下し、 "port stats" を選択します。 'Y' と 'U' を押下します。初期状態では 20 port の統計情報が表示されます。追加のポートを表示するためには、スペースキーを押下し "node" の値を表示したいポートに変更します。   著者 :  ukhapre
記事全体を表示
tsakurai ‎07-18-2016 08:19 PM
2,870件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check Interface Hardware Counters Including Errors https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Interface-Hardware-Counters-Including-Errors/ta-p/55140     概要 ハードウェア エラーの可能性を含むインターフェースのハードウェア カウンタを確認するには以下のCLIコマンドを使用します: > show system state filter sys.s1.p*.detail   本コマンドの出力形式は以下のようになります: sys.s1.p.detail: { 'counter_label': value_in_hexadecimal(0x1234), ...} *where x is port number   詳細 出力結果内のカウンタ情報は ラベル:値 のペアで表示されます。カウンタ値は16進数です。 注: カウンタは値が0x0以上の場合にのみ作成され、一覧として出力されます。   以下は PA-2050 における出力例です: sys.s1.p1.detail: { 'collisions': 0x2cb0, 'late_collisions': 0x35, 'pkts1024tomax_octets': 0x11fac, 'pkts128to255_octets': 0x15235, 'pkts256to511_octets': 0x7fd2, 'pkts512to1023 _octets': 0xafe, 'pkts64_octets': 0xbae28, 'pkts65to127_octets': 0x1d9b0, } sys.s1.p10.detail: { } sys.s1.p11.detail: { } sys.s1.p12.detail: { } sys.s1.p13.detail: { } sys.s1.p14.detail: { } sys.s1.p15.detail: { } sys.s1.p16.detail: { } sys.s1.p17.detail: { } sys.s1.p18.detail: { } sys.s1.p19.detail: { } sys.s1.p2.detail: { 'pkts1024tomax_octets': 0x134b3, 'pkts128to255_octets': 0x1bca1, 'pkts256to511_octets': 0xe3ea, 'pkts512to1023_octets': 0x1ef1, 'pkts64_octets': 0xd0831, 'pk ts65to127_octets': 0x3fa20, } sys.s1.p20.detail: { } sys.s1.p3.detail: { 'pkts1024tomax_octets': 0xd2, 'pkts128to255_octets': 0xa3f9, 'pkts256to511_octets': 0x63d5, 'pkts512to1023_octets': 0x1, 'pkts64_octets': 0xb37b3, 'pkts65to1 27_octets': 0x17fee, } sys.s1.p4.detail: { } sys.s1.p5.detail: { } sys.s1.p6.detail: { } sys.s1.p7.detail: { } sys.s1.p8.detail: { } sys.s1.p9.detail: { }   この例では、ポート ethernet1/1 での duplex ミスマッチが collision カウンタによって容易に確認することができます。   著者: nbilly
記事全体を表示
dyamada ‎07-13-2016 05:39 AM
3,696件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Source NAT Translation Types and Typical Use Cases https://live.paloaltonetworks.com/t5/Management-Articles/Source-NAT-Translation-Types-and-Typical-Use-Cases/ta-p/66203   概要 以下は送信元アドレス変換のタイプと、よくある使用例です。   Dynamic IP and Port 指定された送信元IPアドレスについて、Palo Alto Networks のファイアウォールは送信元 IP アドレスまたは範囲を1つの IP アドレスへ変換します。マッピングは送信元ポートに基づいているため、複数の送信元 IP アドレスは送信元ポートが消費されるまで1つの変換されたアドレスを共有することができます。これは、1つのパブリック IP アドレスを多くのプライベート IP アドレスの間で共有する場合によく利用されます。ISP に接続するインターフェイスに割り当てられた IP アドレスを選択するのが一般的です:   アウトバウンド プールに IP アドレスを追加するには、アドレス タイプを "Translated Address" に変更し、有効なパブリック IP アドレスを追加します。ファイアウォールはセッションごとにアドレスをロードバランスします。   NAT プールの使用状況を確認するには次のコマンドを使用します:  > show running global-ippool   Dynamic IP 指定された送信元 IP アドレスについて、ファイアウォールは、定義されたプールまたは範囲内のIPに送信元IPを変換します。マッピングはポートベースではなく、セッションが持続する限り 1対1 のマッピングを行います。それぞれの同時セッションはプールからアドレスを使用し、他の送信元 IP アドレスはそのアドレスを使用できなくなります。このオプションを利用する場合、同時アウトバウンド セッションを作成するホストの数がダイナミック プール内の IP アドレスの数を超えた場合に、変換用アドレス プールが枯渇することに注意してください。これは2つ以上のパブリック IP アドレスを ISP から割り当てられたものの、すべての内部ホストに割り当てるには不十分なので、アウトバウンド ホストを必要な分だけアサインするときに利用されます。ダイナミック プールには IP アドレスの範囲を割り当てることが一般的です:   指定されたNAT ポリシーの現在の NAT プールのマッピングを表示するには、次のCLIコマンドを実行します。: > show running nat-rule-ippool rule <NAT rule name> Static IP ひとつの送信元アドレスを特定のパブリック アドレスに変換するにはこの変換タイプを使用してください。これは、一般的には変更されないアドレスを持つサーバー(電子メール、 Webまたは任意のアプリケーション)を公開するために使用されます。   Bi-directoinal を「Yes」にすると、送信元と宛先に基づいた双方向のマッピングを作成します。「No」に設定すると、送信元から宛先へのマッピングだけが作成されます。サーバーのアウトバウンド トラフィックとインバウンド トラフィックは同じアドレスを使用するため、通常、送信元 NAT ポリシーの Bi-directional は「Yes」が利用されます:   アドレス範囲全体を特定のアドレス範囲に 1対1 のマッピングで変換するよう Static IP マッピング タイプを使用してください。このポリシーを使用する送信元 IP アドレスの数は、変換後アドレスの範囲と正確に一致する必要があります。一般的には、ネットワークを統合する際の IP 範囲の重複解決するために使用されます。以下のポリシーでは、10.30.1.x 範囲内で一致するアドレスに (Corp) ゾーン宛て 10.20.1.x アドレスの持つすべての送信元アドレスを変換します。:   著者: jteetsel
記事全体を表示
dyamada ‎07-13-2016 05:35 AM
12,780件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How To Packet Capture (tcpdump) On Management Interface https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Packet-Capture-tcpdump-On-Management-Interface/ta-p/55415   管理インターフェイスを介してトラフィックが送信/受信されているかどうかの解析/検証が必要となる場合があります。その一例は、認証試験中にリクエストが LDAP または RADIUS サーバーにデバイスから送信されているかどうかの確認があります。別の例としては、デバイスが SNMP サーバーにポーリング/到達されているかどうかを確認することもあります。 PAN-OS 5.0 以降では、管理インタフェイス宛/発の PCAP トラフィックを知ることができます。使用するオプションは厳密に CLI の tcpdump に基づいています。   以下例: このキャプチャは厳密に/暗黙的に管理インターフェイスを利用するため、通常の tcpdump のように手動でインターフェイスを指定する必要はありません。例えば: 注: フィルタは引用符で囲む必要があります。: > tcpdump filter "host 10.16.0.106 and not port 22"   キャプチャが完了したら、 Ctrl-C を押しキャプチャを停止します: CLI でのPCAP を表示するには、view-pcap コマンドを実行します。例: > view-pcap mgmt-pcap mgmt.pcap   パケット キャプチャ セッションの例: > tcpdump filter "host 10.16.0.106 and not port 22" Press Ctrl-C to stop capturing   tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes ^C506 packets captured 1012 packets received by filter 0 packets dropped by kernel   > view-pcap mgmt-pcap mgmt.pcap   21:19:30.264789 IP 10.16.0.106.61942 > 10.30.14.108.https: . 2376621033:2376621034(1) ack 1605246872 win 505 21:19:30.266422 IP 10.16.0.106.61952 > 10.30.14.108.https: . 996999225:996999226(1) ack 1613111617 win 353 21:19:30.274892 IP 10.16.0.106.61950 > 10.30.14.108.https: . 385255393:385255394(1) ack 1621385090 win 251 21:19:30.294503 IP 10.16.0.106.61951 > 10.30.14.108.https: . 3013860059:3013860060(1) ack 1619361601 win 254 21:19:31.696061 IP 10.16.0.106.61948 > 10.30.14.108.https: . 3206764451:3206764452(1) ack 1612181557 win 256 21:19:31.714608 IP 10.16.0.106.61949 > 10.30.14.108.https: . 3271787020:3271787021(1) ack 1618663520 win 727 21:28:00.170383 IP 10.16.0.106.54641 > 10.30.14.108.snmp:  GetRequest(26) [|snmp] 21:28:15.866735 IP 10.16.0.106.61949 > 10.30.14.108.https: . 20220:20221(1) ack 30253 win 608 21:28:15.944086 IP 10.16.0.106.61948 > 10.30.14.108.https: . 25004:25005(1) ack 31229 win 1175 21:28:16.095081 IP 10.16.0.106.61952 > 10.30.14.108.https: . 23198:23199(1) ack 32575 win 656 21:28:16.234194 IP 10.16.0.106.61950 > 10.30.14.108.https: . 65220:65221(1) ack 68539 win 256 21:28:16.244155 IP 10.16.0.106.61951 > 10.30.14.108.https: . 32492:32493(1) ack 44141 win 254 21:28:16.444185 IP 10.16.0.106.61942 > 10.30.14.108.https: . 23502:23503(1) ack 38660 win 640   以下は参照/利用/適用可能なフィルタの一例(これらに限定されるものではありませんが)です。: ポートによるフィルタ > tcpdump filter "port 80" 送信元IPによるフィルタ > tcpdump filter "src x.x.x.x" 宛先IPによるフィルタ > tcpdump filter "dst x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタ > tcpdump filter "host x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタからSSHを除外する > tcpdump filter "host x.x.x.x and not port 22"   また、手動で SCP または TFTP を通じて PCAP をエクスポートすることができます。例: > scp export mgmt-pcap from mgmt.pcap to   <value>  Destination (username@host:path)   > tftp export mgmt-pcap from mgmt.pcap to   <value>  tftp host   注: PA-200、PA-500、PA-2000では、デフォルトでパケットあたり最大68バイト(Snap Length) の制限があります。 PA-3000、PA-4000、PA-5000の場合は、デフォルトの制限はパケットあたり96バイトです。この制限を拡張するには、"snaplen" オプションを使用します。.   以下も参照 Tcpdump Packet Capture Truncated   著者: bryan
記事全体を表示
dyamada ‎07-13-2016 05:22 AM
11,103件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Admin-Admin Does Not Work After Factory Reset https://live.paloaltonetworks.com/t5/Management-Articles/Admin-Admin-Does-Not-Work-After-Factory-Reset/ta-p/57669   問題 : デフォルトの管理者アカウント(admin/admin)がファクトリー リセット後動作しない   解決方法 : ファクトリー リセット後、CLIコンソール プロンプト(例:PA-500)は、管理者アカウント(admin/admin)を受け付けるまでに、以下のように遷移していきます。   1.  500 login: 2.  PA-HDF login: 3.  PA-500 login:   3番目の「PA-500 login」になったとき(何度かEnterキーを打って、コンソール プロンプト出力が変わるかご確認ください)管理者アカウント(admin/admin)を受付け準備ができた状態です。   著者:  achitwadgi
記事全体を表示
kkondo ‎07-12-2016 12:15 AM
3,015件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Reset the Administrator Password https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Reset-the-Administrator-Password/ta-p/57581   管理者パスワードを復元することはできません。パスワードリセットは以下の手順を実施してください。 Maintenanceモードに入り、前回保存した(パスワード変更前)の設定を再読み込みする必要があります。 Maintenanceモードに入るためには、ターミナルソフトからシリアル コンソール接続を開く必要があります。 ファイアウォール起動中に、継続して'm' (もしくは新しいバージョンでは'maint'と入力する必要があります)を押し続けます。 一旦Maintenanceモードに入った後は、'Select Running Config'オプションを選択します。 管理者パスワードを知っている、以前のバージョンのrunning configを選択して、そのConfigで再起動します。 もし以前のConfigがロードできず、全ての保存されたConfigにてパスワードが解らない場合は、ファイアウォールをファクトリー リセットを実施して、管理者パスワードを再設定する必要があります。   著者:  panagent
記事全体を表示
kkondo ‎07-12-2016 12:13 AM
3,966件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Transfer Licenses to a Spare Device https://live.paloaltonetworks.com/t5/Integration-Articles/How-to-Transfer-Licenses-to-a-Spare-Device/ta-p/58764     重要:ライセンスを転送する前に、RMAで交換されるデバイスの新しいシリアルナンバーが、お客様に登録されている必要があります。この登録により、新しいデバイスは"Spares"プール内に追加されます。   最新のPanoramaにつきまして、ライセンスの転送やMシリーズの交換を行う手順は以下をご覧ください。 How to Replace a Managed Device with a New Device on Panorama Migrate Logs to a New M-Series Appliance in Panorama Mode Migrate Logs to a New M-Series Appliance in Log Collector Mode  デバイスのライセンスをスペアに転送する方法: カスタマー サポート ポータル ( https://support.paloaltonetworks.com ) にログインします。 現在のアカウントがその資産を所有しているアカウントであることを確認します。 所有しているアカウントではない場合、"Change Account"リンクをクリックして、正しいアカウントを選択します。 "Assets"タブをクリックします。 "Spares"をクリックします。 "Register New Spare"をクリックし、新しいスペアのシリアルナンバーを登録します。 ライセンスを受け取るために、スペアのシリアルナンバーをクリックします。" DEVIDE INFORMATION"画面が表示されます。 "Transfer Licenses"ボタンをクリックします。 "TRANSFER LICENSE"画面にて、スペアに転送されるライセンスを持つデバイスを選択します。 "Submit"ボタンを押します。  ご自身のアカウント内に、不良品のシリアルナンバーが表示されていない場合、"Can't find defective device?"をクリックし、そのシリアルナンバーを入力します。 ライセンスを転送するために、上記の手順に沿って操作を行います。     ライセンスはスペア(交換機器)に転送されます。ご利用いただける準備ができますと、交換機器からライセンスを受け取ることになります(参照: How to Configure an RMA Replacement Firewall)。   注: ライセンスを転送する前に有効期間が切れた場合、交換機器においても有効期間が切れることになります。不良品については、転送前のライセンスの状況にかかわらず、転送日より30日間有効なライセンスが付与されます。以前に有効期間が切れていたライセンスは、不良品上での転送から30日間有効となります。     著:panagent
記事全体を表示
hshirai ‎07-10-2016 10:57 PM
2,792件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Currently Installed SFP Modules https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Currently-Installed-SFP-Modules/ta-p/60908   概要 SFPとは小型で、活線挿抜(ホットスワップ)可能なテレコム用途、データ通信用途双方で使用可能な光トランシーバーです。PA-2000シリーズ、PA-3000シリーズ、PA-4000シリーズ、PA-5000シリーズはSFPモジュールに対応しています。この文書は現在インストールしているSFPモジュールの確認方法について記載します。   詳細 PAN-OS 4.1.x やPAN-OS 5.0ではCLIから以下のコマンドを実行します。 >show system state filter sys.sX.pY.phy 例えばinterface1/21に実装している場合、 X=slot=1、Y=port=21と指定します。 通常のSFPモジュールの出力結果例 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Plus-Fiber, 'sfp': { 'connec tor': LC, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': FINISAR CORP.   , 'vendor-part-number': FTLX8571D3BCL   , 'vendor-part-rev': A   , }, 'type': Ethernet, }   故障したSFPモジュールの出力結果例 以下の例に似た出力の場合、該当のSFPモジュールは故障している可能性があります。 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Fiber, 'sfp': { 'connec tor': vendor specific, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': yyyyyyyyyyyyyyyy, 'vendor-part-number': yyyyyyyyyyyyyyyy , 'vendor-part-rev': yyyy, }, 'type': Ethernet, }   注:故障が疑われる出力結果例の場合、一度該当のSFPモジュールを抜き取り、異なるSFPポートに挿してみると良いでしょう。同じ show system state filter コマンドを再度実行してください。出力が同じなら該当のモジュールは故障していると考えられます。   著者:gcapuno
記事全体を表示
TShimizu ‎07-10-2016 10:45 PM
5,114件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How and When to Clear Disk Space on the Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-and-When-to-Clear-Disk-Space-on-the-Palo-Alto-Networks/ta-p/55736    詳細 Palo Alto Networks のデバイスは、保存済みのログがログ クォータの上限に達した場合、一番古いログから順に削除します。デバイスは "show system logdb-quota" コマンド結果にある各カテゴリ毎にログをパージします。 各プラットフォームでのログ パージ動作については、When are Logs Purged on the Palo Alto Networks Devices?を参照してください。 デバイスがディスクのルート パーティションを使い切っている場合、手動でのファイル削除が必要となります。ルート パーティションがフル状態の場合、デバイスは各コンテンツのインストール(アンチウィルス、アプリケーション及び脅威、URL)などの管理タスクの実行や、Tech Support ファイルの生成が出来なくなります。ルート パーティションの状態を確認するには、"show system disk-space" コマンドを実行します。Core ファイルは容量が大きい場合が多いため、必要のないファイルは "delete core management-plane file <ファイル名>" コマンドを使ってファイルを削除してください。 ディスク領域を参照及び削除するには、以下コマンドを実行します。   > show system disk-space Filesystem Size Used Avail Use% Mounted on /dev/sda3 3.8G 3.8G 0 100% / /dev/sda5 7.6G 3.4G 3.8G 48% /opt/pancfg /dev/sda6 3.8G 2.7G 940M 75% /opt/panrepo tmpfs 493M 36M 457M 8% /dev/shm /dev/sda8 51G 6.6G 42G 14% /opt/panlogs 手順 容量の大きい Core ファイルがないかどうか、"show system file" の結果を確認します。 >show system files /opt/dpfs/var/cores/: total 4.0K drwxrwxrwx 2 root root 4.0K Jun 10 20:05 crashinfo   /opt/dpfs/var/cores/crashinfo: total 0   /var/cores/: total 115M drwxrwxrwx 2 root root 4.0K Jun 10 20:15 crashinfo -rw-rw-rw- 1 root root 867M Jun 12 13:38 devsrvr_4.0.3-c37_1.gz -rw-rw-rw- 1 root root  51M Jun 12 13:39 core.20053   /var/cores/crashinfo: total 16K -rw-rw-rw- 1 root root 15K Jun 10 20:15 devsrvr_4.0.3-c37_0.inf o "delete core management-plane file devsrvr_4.0.3-c37_1.gz" コマンドを使って、必要ないファイルを削除します。(このコマンドは、管理プレーンの device server の Core ファイルを削除する例です) レポートの削除も同様にコマンドライン上で実行することが出来ます。例えば、864 で始まるファイルをすべて削除するには、"delete report summary scope shared report-name predefined file-name 864*" コマンドを実行します。   著者: bpappas
記事全体を表示
hfukasawa ‎04-15-2016 03:28 AM
7,102件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community