ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Resolving the URL Category in Decryption When Multiple URLs Use the Same IP https://live.paloaltonetworks.com/t5/Management-Articles/Resolving-the-URL-Category-in-Decryption-When-Multiple-URLs-Use/ta-p/62573   PAN-OS 6.0 問題 Google のように同一 IP アドレスに紐付く複数の Web サービス (Google ドライブ、翻訳、ウェブ検索、Google+、マップ、Google Play、Gmail、カレンダーなど) がある場合に問題が発生します。   DNS が www.google.com と www.drive.google.com の両方を同じ IP アドレス(例:173.194.78.189)に解決する場合、ホストは google.com と drive.google.com の両方で同じ IP アドレスを使用します。そのため、最初のセッションで処理されるトラフィックが www.google.com の場合、ローカル キャッシュは IP アドレス 173.194.78.189 を "search-engines" にマッピングします。その後、次のホストが同じ宛先 IP アドレスを使用して www.drive.google.com にアクセスした場合、URL カテゴリは "online-personal-storage" ではなく "search-engines" にマッピングされます。 "online-personal-storage" のカテゴリを復号化するように設定された復号化ポリシーは、"search-engines" にマッピングされたトラフィックにマッチしないので、drive.google.com へアクセスした際のトラフィックは復号化されません。   詳細 SSL 復号化に関する問題のトラブルシューティングの際には、まず初めに復号化メカニズムが URL  カテゴリとどのように機能するかを理解することが肝心です。セキュアな SSL トンネルを確立するために、クライアントとサーバーは SSL ハンドシェイクを実施し、クライアントは通常、サーバ証明書に基づいてサーバーを認証します。HTTPS 接続は常にクライアントによって開始され、最初にサーバー URL を名前解決した後、名前解決した IP アドレス宛に Client Hello メッセージを送信します。クライアントはサーバー側からサーバー証明書を含む応答を待ちます。   適切な URL カテゴリに解決した上で、SSL トラフィックを復号化するかどうかを決定するために、Palo Alto Networks ファイアウォールはサーバーから受信した証明書のコモン ネーム (CN) フィールドを使用します。そのため、URL のカテゴリ識別はサーバー証明書の CN フィールドに基づいて行われます。解決された URL カテゴリはクライアント側から送信されたパケットの宛先 IP アドレスにマッピングされます。URL カテゴリを識別する処理を高速化するために、ファイアウォールはローカル キャッシュ メモリに各 URL と宛先 IP アドレスのマッピング情報を格納します。したがって、次に同じ宛先 IP アドレスへの SSL トラフィックが発生した際は、既にローカル キャッシュ ファイルに格納されている URL カテゴリで解決されます。復号化のための URL カテゴリのメカニズムは次のようになります: ファイアウォールによって Client Hello メッセージがインターセプトされます ファイアウォールはパケットの宛先 IP を決定します ファイアウォールは宛先 IP とローカル キャッシュ メモリに保存されている IP, URL カテゴリのマッピングリストを比較します リストに同じ IP が存在した場合、URL カテゴリはローカル キャッシュ メモリのリストで識別されます ローカル キャッシュのリストに同じ IP が存在しなかった場合、ファイアウォールはサーバー証明書の CN フィールドを確認するために、サーバーからの応答を待ちます URL カテゴリ識別が CN フィールドに基づいて行われ、サーバーの IP と URL カテゴリがマッピングされるとともに、次回以降に利用するためにローカル キャッシュ メモリのリストに追加されます   解決方法 PAN-OS 6.0 以降では SSL 復号化の適正化を目的として URL のカテゴリ識別の新しい方法を導入しました。この新しい方法はサーバー証明書の CN フィールドに基づくのではなく、SSL Client Hello メッセージの SNI (Server Name Indication) 値に基づきます。この方法を使用すると各状況下で Palo Alto Networks のファイアウォールがアップ ストリーム トラフィックの URL カテゴリを適切に識別し、その情報を基に正しい復号化ポリシーを適用することができます。     注意: Windows XP の最終バージョンである IE 8.0 のような古いバージョンのブラウザでは SNI フィールドはサポートされていません。そのため、SNI を用いたこの解決方法は Windows XP や古いバージョンのブラウザを使用しているクライアントでは機能せず、引き続き CN フィールドを用いて識別されます。   著者: djoksimovic  
記事全体を表示
tsakurai ‎03-08-2017 08:02 PM
5,280件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 ARP Entries Stay Cached for 30 Minutes https://live.paloaltonetworks.com/t5/Management-Articles/ARP-Entries-Stay-Cached-for-30-Minutes/ta-p/55717   概要 Palo Alto Networks ファイアウォールの ARP キャッシュタイムアウトは全てのインターフェイスの ARP エントリに対して30分 (1800秒)です。これは固定値であり設定変更により調整することはできません。   タイムアウト値を表示するには CLI にて "show arp all" コマンドを使用します。以下はPA-5060でのコマンド出力結果を抜粋したものです: > show arp all maximum of entries supported :      32000 default timeout:                    1800 seconds total ARP entries in table :        97 total ARP entries shown :           97 status: s - static, c - complete, e - expiring, i - incomplete   必要に応じて次の CLI コマンドを実行することでインテーフェイス毎に ARP エントリをクリアすることが可能です: > clear arp ethernet1/1   また、次のコマンドを実行すると全インターフェイスのARP エントリをクリアすることが可能です: > clear arp all   著者: gwesson  
記事全体を表示
tsakurai ‎02-09-2017 07:27 PM
5,573件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Palo Alto Networks Firewall not Forwarding Logs to Panorama (VM and M-100) https://live.paloaltonetworks.com/t5/Configuration-Articles/Palo-Alto-Networks-Firewall-not-Forwarding-Logs-to-Panorama-VM/ta-p/59799   事象 Palo Alto Networks M-100 デバイスまたは仮想アプライアンスとして導入されている Panorama が Palo Alto Networks ファイアウォールからログを受信しなくなる。トラフィック ログや脅威ログは、ファイアウォール上で直接確認すると見ることができるが、Panorama 上では見ることができない。   詳細 Palo Alto Networks ファイアウォールは Panorama に転送されたログをシーケンス番号を使用して記録します。ログが受信されると、Panorama はシーケンス番号を認識します。ファイアウォールが異なる Panorama (例えば、Panorama の HA ピア) に接続されると、これらのシーケンス番号は非同期となって、ファイアウォールがログを転送しなくなることがあります。ログのアップロード処理も、Panorama に送信された大量のログによってスタック (停滞) することがあります。   解決策   Panorama 5.0, 5.1, 6.0, 6.1, 7.0, 7.1 現在のログ状況を確認します > show logging-status device <シリアル番号> 最後に ACK されたログ ID からのログ転送をローカルディスクへのバッファリング有りで開始します > request log-fwd-ctrl device <シリアル番号> action start-from-lastack ログが転送されているかどうか確認します > show logging-status device <シリアル番号> ログが転送されていない場合、次のことを行います: ログ転送が停止していることを確認します > request log-fwd-ctrl device <シリアル番号> action stop バッファリング無しでログ転送を開始します (この状態で約 1 分間放置します) > request log-fwd-ctrl device <シリアル番号> action live ログ転送をバッファリング有りで開始します > request log-fwd-ctrl device <シリアル番号> action start   重要! シリアル番号内のアルファベット文字はすべて大文字である必要があります。例えば: > request log-fwd-ctrl device 0000C123456 action live scheduled a job with jobid 12   小文字が使用された場合は、次のエラーメッセージが返されます: > request log-fwd-ctrl device 0011c123456 action live Server error : failed to schedule a job to do log fwd ctrl from panorama to device 0000c123456   デバイスのポリシーにてログのアクションが Panorama への転送に設定されていることを確認します。 ロギングがスタックする場合は、log-receiver サービスを次のコマンドを使用して再起動します: > debug software restart log-receiver もしくは、次のコマンドを使用して Management Server を再起動します (log-receiver サービスも再起動されます): > debug software restart management-server   著者: swhyte
記事全体を表示
kishikawa ‎02-09-2017 07:27 PM
4,437件の閲覧回数
0 Replies
この記事は以下の記事の日本語訳です。 Incorrect QoS Configuration Caused Network Traffic Outage https://live.paloaltonetworks.com/t5/Configuration-Articles/Incorrect-QoS-Configuration-Caused-Network-Traffic-Outage/ta-p/62576 問題 特定のクラスに対してQoSプロファイルにて帯域を制限しようとすると、QoS機能により通信障害が発生する。   詳細 以下の例は、QoSを使用するインターフェイスに関連付けられた誤った設定の例です。 この例のシナリオでは、10Gbインターフェイスが使用されており、上記のスクリーンショットは最大保証帯域 出力側を100Mbpsと設定していることを示します。プロファイル部の最大保証帯域 出力側には、この10Gbインターフェイスを通過するトラフィックのための、すべてのクラスに対しての最大の出力帯域を設定します。   多くの場合に、上記の設定がユーザーより重度の輻輳や通信断の振る舞いとして報告される問題の原因となっています。   解決策 QoSプロファイルを設定するときは、該当のインターフェイスに流れ込む総合的な帯域を考慮し、最大保証帯域 出力側を慎重に設定する必要があります。前述の意図した設定は、class7 のトラフィックを最大保証帯域 出力側を100、そして最低保障帯域 出力側を10とすることでしたが、他のすべてのトラフィックも該当インターフェイスの残りの帯域を使用します。   以下のスクリーンショットは、プロファイルの最大保証帯域 出力側を10000Mbpsとし、class7 トラフィックの最大保証帯域 出力側を100、最低保障帯域 出力側を10とした 正しい設定です。   該当のQoS インターフェイス設定も正しい値で最大保証帯域 出力側が設定されている必要があります。   注: 必要なクラスのみをQoS プロファイルで設定するだけで構いません。他のトラフィックはデフォルトのclass4となります。   著者: fkhan
記事全体を表示
TShimizu ‎02-09-2017 07:16 PM
6,795件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Up Shared Gateway and Inter VSYS https://live.paloaltonetworks.com/t5/tkb/articleeditorpage/tkb-id/ConfigurationArticles/message-uid/57370   概要 Palo Alto Networksは多くの組織にて必要とされる柔軟性のため、複数の仮想システムと、仮想システム間の通信機能をサポートしています。この文書では、業務用と家庭用に別の仮想ファイアウォールを必要とするのものの、仮想システムが同じISPを外部接続に共有する典型的な在宅勤務者の状況の2つの例を紹介します。両方のシナリオとも、双方の仮想システムが外部のISP接続を共有する状況をカバーし、相互の仮想システム(WORK_192とHOME_10)間の通信を許可します。   この文書ではこれらの機能を設定するための手順を示します。       論理構成 手順 パート1:仮想システムと共有ゲートウェイのセットアップ 最初に[Device] > [セットアップ] > [管理] > [一般設定] に移動し、マルチ仮想システム機能が有効になるようにチェックします。 2つの内部のインターフェイス ethernet1/2 (WORK_192) とethernet1/3 (zone: HOME_10)は別の仮想システムに設定されるべきです。 外部インターフェイス(ethernet1/1; zone: SHARED_UNTRUST)は手順4で共有ゲートウェイに設定するため、仮想システムに組み込まないでください。 注:この文書でインターフェイスをどう設定するか理解するために、概要に記載の論理構成をレビューしてください。 仮想システムの定義のため、Deviceタブで仮想システムを選択してください。[認識可能な仮想システム]列で互いの仮想システムが認識できるようにしてください。例えばvsys1 workはvsys2 homeが見えるように設定する必要があり、逆もまた可能なよう設定しなければなりません。 共有ゲートウェイを追加するため、[Device] > [共有ゲートウエイ]で名前とIDを割り当てます。インターフェイスを割り当てるため、[Network] > [インターフェイス]を選択し、仮想システムメニューから共有ゲートウェイを選択してください。この例ではethernet 1/1はISPからIPアドレスを提供された外部インターフェイスであり、従ってこれが設定される必要があります。 Networkタブからインターフェイスを選択してして、インターフェイスが適切に設定されていることを確認してください。 [Network] > [インターフェイス] 各インターフェイスが同じ仮想ルーター(この例ではAll-Routesという名称)に加わります。すべてのゾーンを同じ仮想ルーターに加えますが、その仮想ルーターは共有ゲートウェイや他の仮想システム間の通信を許可しません。これは後でStep8とパート2で紹介しますが、セキュリティポリシーで制御します。 [Network] > [仮想ルーター] 単一のISP上のネクストホップへのデフォルトルートを設定することが本文書の目的です。もし他にもルートが必要であれば、この仮想ルーターに追加してください。上記のスクリーンショットの3列目で"none"となっているとおり、仮想ルーターはどの仮想システムのメンバーにもなっていないことに注意してください。 Networkタブの下にあるゾーンを選んで、HomeからUntrust、WorkからUntrustの外部ゾーンを作成します。これらの2つの外部ゾーンは、内部ゾーン(例 HOME_10 and WORK_192)からSHEARED_Untrustへのトラフィックを許可あるいは禁止するポリシーを設定するためのものです。それらは効果的に内部から外部へのトラフィックの移動を、経由のゾーンで見ることができます。この例では共有ゲートウェイ ゾーンです。タイプを外部として設定し、そのゾーンに向けて通信経路が設定されているよう定義することが重要です。 ポリシーを設定する際は、内部のネットワークから共有ゲートウェイに向かうトラフィックをファイアウォールのuntrust側で許可するルールを作成します。これでHome-to-UntrustとWork-to-Untrustがともに有効に働きます。加えて、SHARED_UNTRUSTを持つShared_External_GW仮想システムに設定するNATが必要になります。 そのポリシーを設定するには[Policy] > [セキュリティ]に移動します。ポリシーを設定したい仮想システムを選ぶようにしてください。 前述したとおり、NATはShared_External_GW仮想システムに設定します。PoliciesタブのNATに移動して、WORK_192  とHOME_10のゾーンに属するホストから隠蔽する、共有ゲートウェイ外部インターフェイス(例:外部ISPアドレスがethernet1/1に割り当てられている)を使用する隠蔽用NAT設定します。このデザインではすべてのNATの設定は、仮想システムとして Shared_External_GW を選択して行われていること確認してください。この例ではどの仮想システムも外部ゲートウェイを共有するコンセプトのため、送信元ゾーンは'any'と設定します。以下は内部ホストの送信元アドレスを外部IPアドレスに変換するシンプルな隠蔽NATの例です。 テストのため、 WORK_192とHOME_10からインターネットへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。   パート2:仮想システム間通信 仮想システム間通信のコンセプトは共有ゲートウェイのセットアップと似ています。それらの仮想システムは互いに通信できる必要があり、個々の外部ゾーンの設定とそのトラフィックを許可するポリシーが必要です。 仮想システム間通信のためには  HOME_10ゾーンはWORK_192に、またその逆も到達できる必要があります。そのため2つの外部ゾーンと、ゾーン間のトラフィックを制御するポリシーの設定が必要です。ゾーンを設定するにはNetworkタブに移動し、ゾーンを選択します。 すべての共有ゲートウェイと仮想システム間通信のためのすべてのゾーンの一覧です。 ポリシーを設定する際は、ゾーン間の通信を許可するルールを作成します。 これでHome-to-Work とWork-to-Home 外部ゾーンが、ともに有効に働きます。これらのゾーンのホスト間のトラフィックは外部ゾーンを経由のために使い、従ってポリシーを設定する必要があります。 ポリシーを設定するには[Policies] > [セキュリティ]に移動します。 ポリシーを設定したい仮想システムを選ぶようにしてください。 テストのため、 WORK_192とHOME_10のホストから相手のゾーンへ向かうトラフィックを生成し、トラフィックログで観察してください([Monitor] > [ログ] > [トラフィック])。   著者:jhess  
記事全体を表示
TShimizu ‎01-25-2017 11:57 PM
4,631件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Add and Verify Address Objects to Address Group and Security Policy through the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Add-and-Verify-Address-Objects-to-Address-Group-and/ta-p/61627     複数のアドレス オブジェクトを作成し、それをグループやポリシーに追加する方法を説明します。   手順 アドレス オブジェクト "test" を作成し、それをアドレス グループ "test-group" に割り当てます。 設定モードに入ります。 > configure IPアドレスを持つアドレス オブジェクトを作成します。 # set address test ip-netmask 10.30.14.96/32 そのアドレス オブジェクトをアドレス グループに割り当てます。 # set address-group test-group test その変更をコミットします。 # commit   アドレス グループ "test-group" をセキュリティ ポリシーに追加します。 設定モードに入ります。 > configure そのアドレス グループをセキュリティ ポリシーに割り当てます。 # set rulebase security rules trust-DMZ action allow source test-group その変更をコミットします。 # commit   以下のコマンドで、先ほど定義した "test-group" の内容を表示できます。 > configure # show rulebase security rules DMZ-Trust DMZ-Trust {   source test-group ;   destination any;   service any;   application any;   action allow;   source-user any;   option {     disable-server-response-inspection no;   }   negate-source no;   negate-destination no;   log-start no;   log-end yes;   from DMZ;   to L3-Trust;   disabled no;   category any;   hip-profiles any; }   CLI上でアドレス オブジェクトやグループ オブジェクトを確認するには、以下のコマンドを実行します。 # show address-group address-group {   test-group {     static [ test1 test1-1 test2 test2-1 test3];   } }   個別のアドレスを確認するには、以下のコマンドを実行します。 # show address   注:CLIに関する情報をさらに知りたい場合は、Live Community 内でCLI リファレンス ガイドをご参照ください。     著者:djoksimovic
記事全体を表示
hshirai ‎01-15-2017 08:51 PM
7,991件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Can I Put a Wildcard in the Traffic Log Filter to View All Hits on a Subnet? https://live.paloaltonetworks.com/t5/Management-Articles/Can-I-Put-a-Wildcard-in-the-Traffic-Log-Filter-to-View-All-Hits/ta-p/62997     ワイルド カードをフィルタの中で使用することはできませんが、フィルタの中でサブネットをまとめたり、特定したりすることができます。   以下の使用例をご覧ください: 送信元フィルタ、/24 サブネット: ( addr.src in 192.168.10.0/24 ) 宛先フィルタ、/24 サブネット: (addr.dst in 192.168.10.0/24)   著者:mrajdev
記事全体を表示
hshirai ‎01-10-2017 04:44 PM
4,785件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Determine How Much Disk Space is Allocated to Logs https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Determine-How-Much-Disk-Space-is-Allocated-to-Logs/ta-p/53828   ログが使用しているディスク容量を確認するためには: CLI より次のコマンドを実行します: show system disk-space   出力は以下のようになります > show system disk-space Filesystem            Size    Used   Avail Use% Mounted on /dev/sda3             3.8G    1.1G    2.5G  31% / /dev/sda5             7.6G    2.1G    5.1G  29% /opt/pancfg /dev/sda6             3.8G    2.7G    932M  75% /opt/panrepo tmpfs                   487M   37M     451M   8% /dev/shm /dev/sda8             125G   403M    118G   1% /opt/panlogs   panlogs で終わる行から、ログに割り当てられているディスク容量が分かります。 ログはその割り当て量を超えると消去されるため、容量の 95% を超えないように割り当て、バッファ容量に多少の余地をもたせることが推奨されます。   ログ種別ごとのディスク割り当ては、CLI または GUI の [Device] > [セットアップ ] > [ 管理 ] > [ ロギングおよびレポート設定 ] から確認することができます。     > show system logdb-quota Quotas:              traffic: 32.00%, 38.123 GB               threat: 16.00%, 19.061 GB               system: 4.00%, 4.765 GB               config: 4.00%, 4.765 GB                alarm: 3.00%, 3.574 GB                trsum: 7.00%, 8.339 GB          hourlytrsum: 3.00%, 3.574 GB           dailytrsum: 1.00%, 1.191 GB          weeklytrsum: 1.00%, 1.191 GB                thsum: 2.00%, 2.383 GB          hourlythsum: 1.00%, 1.191 GB           dailythsum: 1.00%, 1.191 GB          weeklythsum: 1.00%, 1.191 GB              appstat: 6.00%, 7.148 GB               userid: 1.00%, 1.191 GB             hipmatch: 3.00%, 3.574 GB    application-pcaps: 1.00%, 1.191 GB         threat-pcaps: 1.00%, 1.191 GB   debug-filter-pcaps: 1.00%, 1.191 GB          hip-reports: 1.00%, 1.191 GB             dlp-logs: 1.00%, 1.191 GB Disk usage: traffic: Logs: 53M, Index: 78M threat: Logs: 8.1M, Index: 340K system: Logs: 18M, Index: 2.1M config: Logs: 29M, Index: 244K alarm: Logs: 16K, Index: 16K trsum: Logs: 25M, Index: 720K hourlytrsum: Logs: 508K, Index: 576K dailytrsum: Logs: 396K, Index: 620K weeklytrsum: Logs: 72K, Index: 196K thsum: Logs: 276K, Index: 276K hourlythsum: Logs: 264K, Index: 264K dailythsum: Logs: 256K, Index: 256K weeklythsum: Logs: 40K, Index: 40K appstatdb: Logs: 448K, Index: 696K userid: Logs: 56K, Index: 24K hipmatch: Logs: 16K, Index: 16K application-pcaps: 156K threat-pcaps: 4.0K debug-filter-pcaps: 4.0K dlp-logs: 4.0K hip-reports: 1.1M wildfire: 4.0K   著者: mbutt
記事全体を表示
kishikawa ‎01-05-2017 12:36 AM
8,032件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 CLI Commands to View Hardware Status https://live.paloaltonetworks.com/t5/Learning-Articles/CLI-Commands-to-View-Hardware-Status/ta-p/61027     概要 この資料では、Palo Alto Networksデバイスのハードウェアの状態についての情報を提供する、CLIコマンドについて記載しています。   注:PAN-OS 5.0以降のバージョンに対応しています。この資料に記載のコマンドは、Palo Alto Networks VM-Seriesプラットフォームには対応していません。   詳細: ハードウェアのアラームを確認する ("False"は"no alarm"を示しています): > show system state | match alarm chassis.alarm: { } chassis.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, } env.s0.fan.0: { 'alarm': False, 'avg': True, 'desc': Fan #1 Operational, 'min': 1, } env.s0.fan.1: { 'alarm': False, 'avg': True, 'desc': Fan #2 Operational, 'min': 1, } env.s0.power.0: { 'alarm': False, 'avg': 1.051, 'desc': 1.05V Power Rail, 'hyst': 0.007, 'max': 1.130, 'min': 0.980, 'samples': [ 1.045, 1.055, 1.055, ], } env.s0.power.1: { 'alarm': False, 'avg': 1.094, 'desc': 1.1V Power Rail, 'hyst': 0.007, 'max': 1.180, 'min': 1.030, 'samples': [ 1.104, 1.084, 1.094, ], } env.s0.power.2: { 'alarm': False, 'avg': 1.214, 'desc': 1.2V Power Rail, 'hyst': 0.014, 'max': 1.350, 'min': 1.080, 'samples': [ 1.211, 1.221, 1.211, ], } env.s0.power.3: { 'alarm': False, 'avg': 1.807, 'desc': 1.8V Power Rail, 'hyst': 0.018, 'max': 1.980, 'min': 1.620, 'samples': [ 1.807, 1.807, 1.807, ], } env.s0.power.4: { 'alarm': False, 'avg': 2.490, 'desc': 2.5V Power Rail, 'hyst': 0.025, 'max': 2.750, 'min': 2.250, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.power.5: { 'alarm': False, 'avg': 3.340, 'desc': 3.3V Power Rail, 'hyst': 0.033, 'max': 3.630, 'min': 2.970, 'samples': [ 3.340, 3.340, 3.340, ], } env.s0.power.6: { 'alarm': False, 'avg': 4.980, 'desc': 5.0V Power Rail, 'hyst': 0.050, 'max': 5.500, 'min': 4.500, 'samples': [ 4.980, 4.980, 4.980, ], } env.s0.power.7: { 'alarm': False, 'avg': 2.490, 'desc': 3.0V RTC Battery, 'hyst': 0.175, 'max': 3.500, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.thermal.0: { 'alarm': False, 'avg': 30.500, 'desc': Temperature at MP [U6], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 30.500, 30.500, 30.500, ], } env.s0.thermal.1: { 'alarm': False, 'avg': 34.500, 'desc': Temperature at DP [U7], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 34.500, 34.500, 34.500, ], } ha.runtime.device.alarm: False hw.slot0.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, }   その他のコマンド例:     > show system state filter env.* | match alarm     > show system state | match fan     > show system state | match power   直近のクリティカルなハードウェアのアラームを確認する (イタリック体の文字のオプションを決めるために、tabキーを使用します:Backward = 直近の日時、forward = 最も古い日時) > show log system severity greater-than-or-equal critical direction equal backward Time          Severity Subtype Object EventID ID Description =============================================================================== 01/20 06:51:58 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 12/23 14:29:21 critical ha            unknown 0  HA Group 1: moved from state Passive to state Active 12/23 14:29:12 critical ha            unknown 0  HA Group 1: moved from state Non-Functional to state Passive 12/23 14:27:15 critical general        unknown 0  Chassis Master Alarm: HA-event 12/23 14:27:15 critical ha            unknown 0  HA Group 1: moved from state Active to state Non-Functional 12/23 14:27:15 critical ha            unknown 0  HA Group 1: dataplane is down 12/23 14:27:01 critical general        unknown 0  Heartbeat triggering a restart of 'data-plane' from the control-plane 11/09 17:39:44 critical general        unknown 0  Chassis Master Alarm: Fans 11/09 17:39:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/29 08:52:26 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 09/20 09:09:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/20 09:09:44 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Fan #3 Speed: 5776.98 above high-limit 5750.00 06/20 12:37:04 critical general        unknown 0  Chassis Master Alarm: Fans 06/20 12:37:04 critical general        unknown 0  Fan #1 Speed: 5845.59 above high-limit 5750.00   温度、ファン、電源の状態を確認する: > show system environmentals ----Thermal---- Slot   Description                         Alarm      Degrees C S0    Temperature at 3830 [U85]           False      43.33 S0    Temperature at LION [U86]           False      43.83 S0    Temperature at Phy [U87]            False      38.33 S0    Temperature at CPLD [U88]           False      44.50   ----Fans---- Slot   Description                         Alarm      RPMs S0    Fan #1 RPM                          False      14673 S0    Fan #2 RPM                          False      14465 S0    Fan #3 RPM                          False      14261 S0    Fan #4 RPM                          False      15004   ----Power---- Slot   Description                         Alarm      Volts S0    1.0V Power Rail                     False      0.98 S0    1.2V Power Rail                     False      1.20 S0    1.5V Power Rail                     False      1.51 S0    1.8V Power Rail                     False      1.80 S0    2.5V Power Rail                     False      2.48 S0    3.3V Power Rail                     False      3.31 S0    5.0V Power Rail                     False      5.02 S0    3.3V RTC Battery                    False      3.22   ログの中でハードウェアのアラームを確認する: > less mp-log ehmon.log * * Ehmon (v3.0) * Jan 07 01:54:26 Start time. Jan 07 01:54:28 Loading: libfans.so... done Jan 07 01:54:28 Loading: libpower.so... done Jan 07 01:54:28 Loading: libthermal.so... done Jan 07 01:55:28 Sensor Alarm [True ]: Fan #1 RPM = 8472 Jan 07 01:55:48 Sensor Alarm [False]: Fan #1 RPM = 8509 Jan 07 01:56:48 Sensor Alarm [True ]: Fan #1 RPM = 8437 Jan 07 01:57:28 Sensor Alarm [False]: Fan #1 RPM = 8544   注:アラームのトリガーとなった状態が解消されることで、アラームを示していたLEDは消えているはずです。     著者:panagent
記事全体を表示
hshirai ‎12-15-2016 12:19 AM
11,121件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Data Filtering Best Practices https://live.paloaltonetworks.com/t5/Configuration-Articles/Data-Filtering-Best-Practices/ta-p/58093     初期設定では、データ フィルタリングにはシグネチャが2つあります: クレジットカード:デバイスは16桁(訳注1)の番号を探し、ハッシュ アルゴリズムの検証を進めます。クレジットカードの番号として検出する前に、ハッシュ アルゴリズムに合致しなければなりません。この手法により、偽陽性(False Positive)を減らしています。 社会保障番号(訳注2):形式に関わらず、あらゆる9桁の番号が社会保障番号として検出されます。こちらは偽陽性となる傾向があります。 どのようなドキュメントのタイプに対して、クレジットカードと社会保障番号を検知するかを定義することが重要です。この記事に添付している2つのPDFを使用して、ポリシーでの定義を検証することができます。1つはダミーの社会保障番号で、もう1つはダミーのクレジットカード番号です。   2種類のキーワードを見つけ、アラートを生成するプロファイルを設定します。さらなる条件として、10個の9桁の番号または10個のクレジットカードの番号、あるいは9桁の番号とクレジットカード番号が合計で10個の組み合わせを持つファイルを確認することとします。 カスタムのデータ パターンを設定します。 作成したデータ パターンをプロファイルを設定します。 作成したデータパターンをセキュリティ プロファイルに設定します。   カスタムのデータ パターンは以下の方法で設定します: カスタムのデータ パターンの重みを、10で設定します。 社会保障 (CC#) とクレジットカード (SSN#) には、1を設定します (以下のスクリーンショットをご覧ください)。 データ フィルタリング プロファイルを、アラートしきい値を10に設定します (以下のスクリーンショットをご覧ください)。 Data Filtering Profile このプロファイルをセキュリティ ルールに追加します。このルールは該当のデータ パターンを見つけると、上記で設定した条件でアラートを挙げます。この設定をすることで、いくつかの誤検出を防ぐことができます。   データ フィルタリング ログのモニタ ログの各エントリーに表示される緑色の矢印をクリックすることで、データ フィルタリングをトリガーしたパケットのキャプチャを見ることができます。 パケットキャプチャには保護すべき内容を含むため、データ保護を有効にしパケットキャプチャの閲覧にパスワードを保護をかけることができます。パスワードは[Device] > [セットアップ] > [コンテンツ ID] > [コンテンツ ID 機能] > [データ保護の管理]で設定します 。   注:このKB記事には2つのテストファイルを添付しており、ポリシーが動作しているかを確認に使用できます。 訳注1:一部のクレジットカード発行元によっては、13桁など16桁以外のクレジットカード番号への対応もあります。  訳注2:アメリカ合衆国において社会保障法に基づき市民・永住者・外国人就労者に対して発行される9桁の番号。   著者:wtam
記事全体を表示
hshirai ‎11-16-2016 10:58 PM
5,045件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Slow or Failed Commits https://live.paloaltonetworks.com/t5/Management-Articles/Slow-or-Failed-Commits/ta-p/61172     問題 時折、コミットが遅くなったり、完全に失敗することがあります。以下の" devsrv.log"の例では、"pan_util.c"のコールが"devsrv"への接続に失敗し、"phase1"処理に合流していないことを意味します。 2181 root 20 0 975m 11m 1468 S 2 1.2 196:53.46 cryptod 9620 root 20 0 798m 127m 39m S 2 12.9 97:40.63 devsrvr 1 root 20 0 1832 560 532 S 0 0.1 0:12.83 init mp\devsrv.log 10-17 17:20:15 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:15 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:15 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:21 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:21 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:21 Error: pan_util_connect_server(pan_util.c:1776): Failed to connect to server: Connection refused mp\devsrv.log 10-17 17:20:23 SIGTERM triggered mp\devsrv.log 10-17 17:20:23 DEVSRV: connection to MS terminated mp\devsrv.log 10-17 17:21:00 BrightCloud URL engine startup... mp\devsrv.log 10-17 17:21:01 pan_shmgr_merge_with_peer(runtime.user-idmgr) begin mp\devsrv.log 10-17 17:21:35 BrightCloud URL filtering engine started mp\devsrv.log 10-17 17:22:05 Config commit phase1 started   解決方法 以下のコマンドを使用して、"devsrvr"プロセスによって使用されているメモリの使用量の多さを確認します: > show system resources | match devsr 2672       20   0  172m  67m  13m S    0  1.7   7:00.84 devsrvr   必要に応じて、以下のコマンドを使用してdevice serverを再起動します: > debug software restart device-server プロセスが再起動した後、"phase1"が伝えられると、コミットを完了することができます。   注:"devsrvr"プロセスは、管理プレーン上で実行されており、データ プレーンに設定を流すことについては注意が必要です。該当のプロセスは、URLフィルタリングの要求や応答のような、管理プレーンとデータ プレーン間のいくつかの通信も担当しています。     著者:rkalugdan
記事全体を表示
hshirai ‎11-16-2016 09:44 PM
4,577件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Client Unable to Connect on Newly Installed Machine https://live.paloaltonetworks.com/t5/Management-Articles/GlobalProtect-Client-Unable-to-Connect-on-Newly-Installed/ta-p/60421     問題 新規インストールしたGlobalProtectクライアントが接続できない。   トラブルシューティング クライアント端末上でログを有効にするために、[ トラブルシューティング ] > [ ログ ] を選択し、"PanGP サービス"を選択してから"開始"ボタンをクリックします。   以下のようなログを見ることができるようになります: (T788) 10/14/14 09:14:09:488 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:09:488 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:14:474 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:14:474 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:19:481 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:19:481 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:24:003 Debug(  71): CTranslate: xxxxxxxxxxxx is 24 (T788) 10/14/14 09:14:24:003 Debug(  73): CTranslate: sid is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (T788) 10/14/14 09:14:24:003 Debug(  71): CTranslate: xxxxxxxxx is 24 (T788) 10/14/14 09:14:24:003 Debug(  73): CTranslate: sid is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (T788) 10/14/14 09:14:24:008 Debug( 297): CPanGASetting:OnBnClickedSave - resend credentials (T788) 10/14/14 09:14:24:488 Info ( 341): InitConnection ... (T788) 10/14/14 09:14:24:488 Info ( 349): Connecting to Pan MS Service end (T788) 10/14/14 09:14:29:474 Info ( 341): InitConnection ...   この問題を解決する方法が2つあります: 解決方法 1 PanGPSサービスの状態が実行中であることを、タスク マネジャーのサービス タブで確認します。   解決方法 2 PanGPSサービスが、タスク マネジャーのサービス タブ内に存在しない場合、GlobalProtectクライアントを再インストールします。     著者:mbutt
記事全体を表示
hshirai ‎11-10-2016 01:07 AM
7,907件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Restart the "mgmtsrvr" Process https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Restart-the-quot-mgmtsrvr-quot-Process/ta-p/63119     問題 WebGUIの応答が遅い、あるいは反応がない。 管理者アカウントが、すでにログアウトしている状態なのに、ログインしていると表示されている。 ライセンスの認証コードは入力されているが、ライセンスを有効化したり更新できたりしない。 WebGUIにてログが表示されない。 " show system resources"コマンドの出力結果は、" mgmtsrvr"プロセスが、異常にメモリを消費していることを示している。     Resolution これらの問題を解決するには、Management serverのプロセス"mgmtsrvr"の再起動を推奨します。 以下の手順に従い、Managment serverのプロセスを再起動してください。   CLIでコマンドを入力します: PAN-OS 5.0, 6.0, 6.1, 7.0 > debug software restart management -server   PAN-OS 7.1 > debug software restart  process  management -server 注: これにより"mgmtsrvr"プロセスが再起動します。ログインしている管理者がいる場合、WebGUIとCLIから切断されます。 数分後にWebGUI、あるいはCLIに、再度ログインします。 Management serverのプロセス以下をチェックするために、以下のCLIコマンドを実行します。 > s how system resources | match mgmtsrvr このコマンドの出力結果は、"mgmtsrvr"プロセスは、再起動前に比べてほとんどメモリを消費していないことを示すでしょう。WebGUIも正しく機能しているはずです。 > show system resources | match mgmt       2140       20   0  708m 484m 9828 S    2 12.9   8:13.06 mgmtsrvr   著者:jdavis  
記事全体を表示
hshirai ‎10-24-2016 11:43 PM
4,987件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Unable to Connect to or Ping a Firewall Interface https://live.paloaltonetworks.com/t5/Management-Articles/Unable-to-Connect-to-or-Ping-a-Firewall-Interface/ta-p/62505     問題 あるサービスを利用するために、ファイアウォールのインターフェイスのIPアドレスに接続しようとした際に、あるいはそのインターフェイスにPingしようとした際に、その通信が失敗してしまう。HTTPSやSSHでデバイスを管理しようとしたり、GlobalProtect ポータルやNetConnect webポータルに接続しようとしたり、あるいは単にインターフェイスにPingしようとしているだけでも起きる可能性があります。   解決方法 インターフェイスが必要なサービスを有効にしたり、接続元からのIPアドレスを許可する適切な管理プロファイルを持っていることを確認します。 管理プロファイルが疑われる場合、以下の"counter"コマンドを実行し、"counter"の増加を確認します: > show counter global name flow_host_service_deny トラフィック ログを確認することにより、インターフェイスに向かうトラフィックをブロックしているセキュリティ ポリシーがないことを確認します。宛先アドレスにファイアウォールのインターフェイスのIPアドレスとなるようにフィルタ対象となるように設定をします。一般的に、セキュリティ ポリシーは接続をブロックしませんが、ブロックしてしまう可能性はあります。 パケットが到達するインターフェイスが、開始パケットがファイアウォールに入っていくインターフェイスと異なり、それら2つのインターフェイスが異なるゾーンにある場合、それはインター ゾーン(ゾーン間)のセッションだと考えられるため、そのセッションを許可するセキュリティ ポリシーが必要です。 パケットが到達するインターフェイスが、開始パケットがファイアウォールに入っていくインターフェイスと同じ場合、それはイントラ ゾーンのセッションだと考えられ、イントラ ゾーン(ゾーン内)のセッションはデフォルトで許可されているので、セキュリティ ポリシーは必要ありません。しかし、明示的に定義された"deny any to any zone"のセキュリティ ポリシーがあると、デフォルトの許可を上書きしてしまいます。そのため、ファイアウォールのインターフェイスに対して初期化セッションを許可する、より明確なポリシーを保持する必要があります。 注:インターフェイスのセッションのログが何も観測されていない場合、デフォルトのアクションがインター ゾーンやイントラ ゾーンのセッションで取られている時、拒否、許可のどちらについても、トラフィック ログは生成されない動作によることが考えられます。 問題がまだ解決できない場合は別の可能性として、送信元NATで開始パケットの送信元アドレスを、パケットが到達するインターフェイスのアドレスへ変換していることが考えられます。これはファイアウォールに、パケット処理の早い段階でのパケットのドロップを引き起こします。なぜならアドレス変換後にそのパケットは、送信元と宛先が同じとなるLAND攻撃のように見えてしまうからです。 これは外部インターフェイスと検証機が内部ネットワークにあり、GlobalProtectポータルへの接続を検証している時によく見られる振る舞いです。開始パケットは外部ゾーンにアクセスするための送信元NATによって外部インターフェイスに変換されてしまいます。 ログ プロセスの前にこの仕組みが動き出すため、この場合はトラフィックのログは何も見られません。 以下のコマンドを入力して、これが問題なのかどうかを確認するためにカウンタの増加分を確認します: > show counter global name flow_policy_nat_land この問題を解決するために、原因となるNATポリシーのクローンを作成し、[送信元アドレスの変換]を"none"に変更し、[宛先アドレス]を該当のインターフェイスのIPアドレスに変更します。そして問題のNATポリシーの直上に新しいポリシーを置きます。この措置により、宛先が該当インターフェイスの場合のみ、新しいNATポリシーが適用されます。 NATポリシーによって引き起こされる別の問題は、宛先NATが、サーバーのアドレスに向かう該当のインターフェイスのアドレスを宛先アドレスを持つパケットを、変換する場合です。一般的にこの宛先NATは、外部インターフェイスのパブリックなIPアドレスを含みます。この問題を引き起こす可能性のあるNATの設定は2つ考えられます。 宛先NATをすべてのサービスのために設定している場合、該当するインターフェイスの宛先アドレスを持ちNATポリシーに該当するパケットはすべて変換されます。たとえその意図がリモート ホストではなく、該当インターフェイスにパケットを到達させるためであったとしてもです。以下の方法で、この問題を解決できる可能性があります: サーバーが特定のサービス、あるいはファイアウォールのインターフェイスに届く必要のあるポートとは異なるポートを使用する場合、必要なサービスだけを変換してサーバーへ転送するために、NATポリシーの適用範囲を狭くします。 その宛先NAT用に特定のサービスが指定して、それらのサービスの宛先ポートに合致するパケットだけが宛先変換されますが、443番ポートの変換を例として挙げると、宛先NATポリシーに合致するパケットであるからといって、ファイアウォールのインターフェイスの443番ポートへ接続されることはありません。以下の方法で、この問題を解決できる可能性があります: 利用可能なアドレスがある場合、別のアドレスをファイアウォールのインターフェイスに追加します。同じサブネット内にアドレスを追加する場合、そのサブネット マスクは"/32"である必要があります。 ファイアウォールのインターフェイスのアドレスは変更するか、サーバーのアドレスを変更するべきです。 上記の選択肢のどちらも相応しいアクションでない場合、問題は、サービスが提供されるために十分なパブリックなアドレスを持っていないことである可能性があります。より手の掛かる解決策ではありますが、パブリックなアドレスを追加で入手する必要があるかもしれないということです。 上記の解決方法でも問題を解決できない場合、通信を開始するコンピュータとファイアウォールのインターフェイス間において、ネットワーク上のルートを確認する価値は大いにあります。他のコンピュータがファイアウォールに接続できるかどうかを確認します。必要に応じて、開始パケットがファイアウォールに届いているかどうかを確認するために、ファイアウォール上でパケット キャプチャをします。   Trustゾーンのホストが、外部インターフェイスのIPアドレスへの接続を防ぐ送信元NATの例: インターネットからの外部インターフェイスのIPアドレスへのすべての接続を防ぐ宛先NATの例:   注:この解決方法は、ファイアウォールの管理インターフェイスには適用されません。     著者:astanton
記事全体を表示
hshirai ‎10-24-2016 08:44 PM
5,575件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Symmetric Return https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Symmetric-Return/ta-p/59374     概要 このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。   詳細 この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。 これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。   例:トポロジー 上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。 この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。 ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。   NAT INCOMING_NAT-ISP-1 と INCOMING_NAT-ISP-2 のルールはインターナルサーバー IP の 192.168.83.2 の変換用です。 ISP1NAT と ISP2NAT は ISP1 と ISP2 へのアウトバウンドトラフィック用です。   ネットワーク   ルーティング firewall上には ISP2 を宛先とするデフォルトルートが一つあります。   ポリシーベースフォワーディング (PBF) シンメトリックリターンの作成はポリシーベースフォワーディングの設定内でおこないます。 サーバー宛トラフィック用の PBF ルールを作成します。 シンメトリックリターン機能はインターフェースに基づくもののため Source Type で Interface を選択します。   追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。   Destination IP address をサーバーのインターナル IP アドレスに設定します。 送信先ネットワークが直接接続されてなければ Next Hop の IP アドレスに設定します。 egress interface はインターナルサーバーが同じセグメントにある為 Ethernet 1/6 に設定します。 サーバーが直接接続されていなければ、サーバーのあるネットワークへの Next Hop の IP アドレスを設定します。 Enforce Symmetric return を有効にし、Next Hop Address を ISP1 (1.1.1.84) に設定します。 シンメトリックリターンが正しく動作していることを確認する場合は次のコマンドを実行します: > show session id 6149 Session            6149           c2s flow:                 source:      5.1.1.1 [DMZ]                 dst:         1.1.1.83                 proto:       1                 sport:       13812           dport:      3                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1           s2c flow:                 source:      192.168.83.2 [L3-Trust]                 dst:         5.1.1.1                 proto:       1                 sport:       3               dport:      13812                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP1-PBF 1                 symmetric return mac: 00:1b:17:05:8c:10           start time                    : Tue Jan  8 16:23:55 2013         timeout                       : 6 sec         total byte count(c2s)         : 98         total byte count(s2c)         : 98         layer7 packet count(c2s)      : 1         layer7 packet count(s2c)      : 1         vsys                          : vsys1         application                   : ping         rule                          : all         session to be logged at end   : True         session in session ager       : False         session synced from HA peer   : False         address/port translation      : source + destination         nat-rule                      : INCOMING_NAT-ISP-1(vsys1)         layer7 processing             : enabled         URL filtering enabled         : False      作成された PBF ルールにマッチしていることがわかります。   (訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。) 下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。   > show pbf return-mac all   current pbf configuation version:   0 total return nexthop addresses :    8   index   pbf id  ver  hw address          ip address                      return mac          egress port -------------------------------------------------- ------------------------------ 7       1       2    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   2       1       0    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   6       1       1    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   8       1       2    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   5       1       1    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   9       1       3    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   1       1       0    00:1b:17:05:8c:10   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   10      1       3    00:00:00:00:00:00   1.1.1.84                      00:1b:17:05:8c:10   ethernet1/1   maximum of ipv4 return mac entries supported :     500 total ipv4 return mac entries in table :           2 total ipv4 return mac entries shown :              2 status: s - static, c - complete, e - expiring, i - incomplete   pbf rule        id   ip address      hw address        port         status   ttl -------------------------------------------------- ------------------------------ ISP1-PBF        1    1.1.1.84        00:1b:17:05:8c:10 ethernet1/1    s      1603 ISP1-PBF        1    5.1.1.1         00:1b:17:05:8c:10 ethernet1/1    c      1800           session via syn-cookies       : False         session terminated on host    : False         session traverses tunnel      : False         captive portal session        : False         ingress interface             : ethernet1/1         egress interface              : ethernet1/6         session QoS rule              : N/A (class 4)   著者:sdurga
記事全体を表示
oconnellm ‎08-31-2016 12:19 AM
9,102件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Using Packet Filtering through the WebGUI https://live.paloaltonetworks.com/t5/Management-Articles/Using-Packet-Filtering-through-the-WebGUI/ta-p/56363     訳注:本文書で紹介する機能はPAN-OS:5.0以降で対応しています。   概要 この資料は、WebGUIを利用したPCAPについて詳述しています。ここでは、GUIを利用したフィルターの設定方法を扱っており、パケットのキャプチャ方法や、どのパケットがどのステージへ向かうのかを決める方法について説明しています。   いつパケットをキャプチャを必要があるのか? ネットワーク トラフィックを分析する際にパケットキャプチャを行います。PAN-OSは、3種類のパケット キャプチャに対応しています: フィルター PCAP/デバッグ フィルター 送信元/宛先IPアドレス、および送信元/宛先ポートに基づいてパケットをキャプチャするため。 アプリケーション PCAP 特定のApp-IDのパケットをキャプチャするため (特にApp-IDが該当のアプリケーションを検出せず、アプリケーション欄に"incomplete"と表示されている状況)。 "Incomplete"とは、TCP 3ウェイ ハンド シェイクが完了していないということを意味しています。Palo Alto Networksファイアウォールは、クライアントからのSYNパケットの確認はしたが、サーバーからSYN-ACKを得ることはなかった、ということです。それには、2つの理由が考えられます: サーバーは、SYN-ACKの返答を一度もしなかった。これは、サーバーに問題があるということを意味しています。 サーバーは、SYN-ACKを返答したが、SYN-ACKが異なるルートを通ったため、Palo Alto Networksデバイスを通過しなかった (非対象ルーティングとも呼ばれます)。 この問題を解決するためには、フィルターとキャプチャを設定して、Palo Alto NetworksデバイスがSYN-ACKを確認しているかを判断する必要があります。 Unknown PCAP "unknown-tcp"や"unknown-udp"、"unknown-p2p"のパケットをキャプチャするため。 Palo Alto Networksデバイスが、App-IDを使用してアプリケーションを特定できない場合、パケットは、"unknown-tcp"、"unknown-udp"または"unknown-p2p"に分類されます。 キャプチャしたファイルはハード ディスク上に保存されます。ファイアウォールは、PCAPをログ毎に20MBずつ保存し、1時間ごとにディスクの空き容量を確認しています。ディスクの使用量が90%を超えた場合、パケット キャプチャは、90%以下になるまで、古いものから順番に削除されていきます。 注:ファイルのサイズを制限するために、オフ ピーク時にトラフィックをキャプチャすることの考慮が必要となる場合があります。   キャプチャする前にフィルターを設定することが重要である理由 フィルターに合致するパケットだけがキャプチャされるように、フィルターを定義します。パフォーマンスの低下を最小限に抑えたり、他の不要なデータがキャプチャされないことを保証するために、キャプチャを有効にする前に、フィルターを定義することが重要です。同様に、PCAPを取得後は、フィルターを解除する前にキャプチャを無効にすることが重要です。 そのようにしないと送信元IPアドレスだけをフィルターする代わりに、すべてのトラフィックがフィルターの対象となり、 Palo Alto Networksファイアウォールのパフォーマンスが低下することになります。     フィルターとキャプチャを設定するためのステップ バイ ステップ ガイド   WebGUIを利用したPCAP フィルタリング [ Monitor ] > [ パケット キャプチャ ] を選択します: フィルターを設定する前に、以前の設定が不要である場合、「すべての設定をクリア」を選択して、すべてのPCAP設定を削除します。 最初にフィルターを設定する方がより安全です。それにより、フィルターに合致するパケットだけをキャプチャすることができます。フィルターを設定するために、「フィルタの管理」を選択し、「追加」をクリックして新しいフィルターを設定します。 以下の情報を指定します: ID:フィルターを識別するためのIDを入力します。 入力インターフェイス:ファイアウォールのインターフェイスを入力します。 送信元:送信元IPアドレスを入力します。 宛先:宛先IPアドレスを入力します。 送信元ポート:送信元ポートを入力します。 宛先ポート:宛先ポートを入力します。 非 IP:非 IPトラフィックを扱うためのオプションを1つ選択します。 None:IPフィルターを使用しない。 Exclude Include Only:IPだけを含めるフィルター。 IPv6:IPv6パケットを含めるには、チェックボックスにチェックを入れます。 フィルタリングと事前解析一致を有効にします: 注:事前解析一致は、高度なトラブルシューティングのためのものです。あるパケットが入力インターフェイスに入ってきた際に、何らかの失敗によりそのパケットはフィルタリングのステージまで到達しないことがあります。しかし、この設定を有効にすることで、ファイアウォールはフィルタリングのステージに到達しないパケットもキャプチャします。   キャプチャ キャプチャを有効にする前に、以下のステージを設定します: 「追加」をクリックして、キャプチャされるパケットのステージを設定します。パケットは、以下の4つのステージでキャプチャされます: Drop:エラーが原因で、Palo Alto Networksデバイスによってドロップされたパケットが、Dropステージに入ります。 Firewall:Palo Alto Networksデバイスが、パケットを処理している時のパケットのステージです (キャプチャされたパケットは、ポリシーやIPS機能などを通過していきます)。 Receive:Palo Alto Networksデバイスによって受信されたパケットは、このステージでキャプチャされます。 Transmit:送信元から送出されるパケットは、(Firewallステージ後に) このステージでキャプチャされます。 パケット キャプチャを有効にします。ダイアログが表示されますので、OKをクリックします。 注:特定のトラフィックのパケットだけがキャプチャされるように、キャプチャを有効にする前に、フィルターが有効になっていることを確認します。そうでない場合、作成されたすべての新しいセッションがキャプチャされてしまい、データ プレーンのパフォーマンスを著しく低下させることになります。 パケットをキャプチャするために、送信元からのトラフィックを生成します。 画面を更新して、PCAPファイルがキャプチャされたかどうかを確認します。 パケット キャプチャ画面の右側にPCAPファイルが表示された後、キャプチャとフィルターを無効にします。 注:フィルターを無効にする前に、キャプチャを無効にすることが重要です。さもないと、すべてのトラフィックがフィルターの対象となり、ファイアウォールのパフォーマンスを低下させてしまうことになります。   すべての設定は以下の「すべての設定をクリア」を使用することで削除することができます:   シナリオ例 "10.1.1.1"を使用している端末からのトラフィックをキャプチャします。 送信元が"10.1.1.1"であるフィルターを設定します。 4つのキャプチャ ステージを設定し、各ステージに対して個々にファイル名を付けます (Receive、Firewall、Transmit、Drop)。 フィルタリングと事前解析一致を有効にします。 キャプチャを有効にします。 パケット キャプチャを有効にすると、ファイアウォールのパフォーマンスに影響を与えるという旨のリマインダーとして、警告が表示されます。 必要なトラフィックを生成します。 更新アイコンをクリックします。 PCAPファイルが表示されます。最初にキャプチャを無効にし、次にフィルタリングを無効にします。 4つのキャプチャしたファイル (各ステージにつき1つ) をダウンロードし、Wiresharkを使用して開きます。 注:ステージに関連付けられたファイルは、トラフィックがキャプチャされた場合のみに作成されます。例えば、パケットが1つもドロップしない場合は、そのステージに関連付けられたファイルは何も作成されません。     著者:mvora
記事全体を表示
hshirai ‎08-23-2016 12:05 AM
7,561件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Basics of Traffic Monitor Filtering https://live.paloaltonetworks.com/t5/Featured-Articles/Basics-of-Traffic-Monitor-Filtering/ta-p/65244     フィルタリングの方法と使用例 この資料では、Palo Alto Networksファイアウォール上で、特定のタイプのトラフィックをフィルタリングしたり、見つけ出す方法をいくつか例を挙げて説明しています。フィルタのカテゴリとして、ホスト、ゾーン、ポート、日付/時間があります。一覧の最後の方では、より包括的に検索するために、様々なフィルタを組み合わせた例をいくつか記載しています。   以下は、手始めとなる基本的なフィルタの例です。   ホストのトラフィック フィルタの例        ホスト a.a.a.a から           (addr.src in a.a.a.a)           例:(addr.src in 1.1.1.1)            説明:IPアドレス 1.1.1.1 に合致するホストからのすべてのトラフィックを表示        ホスト b.b.b.b へ           (addr.dst in b.b.b.b)           例:(addr.dst in 2.2.2.2)            説明:2.2.2.2 に合致するホストの宛先アドレスのすべてのトラフィックを表示       ホスト a.a.a.a からホスト b.b.b.b へ           (addr.src in a.a.a.a) and (addr.dst in b.b.b.b)           例:(addr.src in 1.1.1.1) and (addr.dst in 2.2.2.2)           説明:1.1.1.1 のIPアドレスを持つホストから2.2.2.2 の宛先アドレスを持つホストへのすべてのトラフィックを表示       ホストのIPアドレスの範囲から           注:実際のIPアドレスを特定できませんが、あるアドレスのネットワークの範囲を特定するために、CIDRの表記法を使用することができます。           (addr.src in a.a.a.a/CIDR)           例:(addr.src in 10.10.10.2/30)           説明:10.10.10.1 - 10.10.10.3 の範囲のアドレスからのすべてのトラフィックを表示        送信元/宛先ホスト a.a.a.a           (addr in a.a.a.a)           例:(addr in 1.1.1.1)            説明:1.1.1.1 に合致するホストの送信元アドレス、あるいは宛先アドレスのすべてのトラフィックを表示     ゾーンのトラフィック フィルタの例        zone_a ゾーンから           (zone.src eq zone_a)           例:(zone.src eq PROTECT)           説明:PROTECTゾーンからのすべてのトラフィックを表示        zone_b ゾーンへ           (zone.dst eq zone_b)           例:(zone.dst eq OUTSIDE)           説明:OUTSIDEへのすべてのトラフィックを表示        zone_a から zone_b へ           (zone.src eq zone_a) and (zone.dst eq zone_b)           例:(zone.src eq PROTECT) and (zone.dst eq OUTSIDE)           説明:PROTECTゾーンからOUTSIDEゾーンへ出て行くすべてのトラフィックを表示     ポートのトラフィック フィルタの例        送信元ポート aa から           (port.src eq aa)           例:(port.src eq 22)           説明:送信元ポート22からのすべてのトラフィックを表示        宛先ポート aa へ           (port.dst eq bb)           例:(port.dst eq 25)           説明:宛先ポート25へのすべてのトラフィックを表示        送信元ポート aa から宛先ポート bb へ           (port.src eq aa) and (port.dst eq bb)           例:(port.src eq 23459) and (port.dst eq 22)           説明:送信元ポート23459から宛先ポート22へのすべてのトラフィックを表示        送信元ポート aa 以下のすべてのポートから           (port.src leq aa)           例:(port.src leq 22)           説明:送信元ポート1 - 22からのすべてのポートを表示        送信元ポート aa 以上のすべてのポートから           (port.src geq aa)           例:(port.src geq 1024)           説明:送信元ポート1024 - 65535からのすべてのトラフィックを表示        宛先ポート aa 以下のすべてのポートへ           (port.dst leq aa)           例:(port.dst leq 1024)           説明:宛先ポート1 - 1024へのすべてのトラフィックを表示        宛先ポート aa 以上のすべてのポートへ           (port.dst geq aa)           例:(port.dst geq 1024)           説明:宛先ポート1024 - 65535へのすべてのトラフィックを表示        aa から bb までの送信元ポート範囲から           (port.src geq aa) and (port.src leq bb)           例:(port.src geq 20) and (port.src leq 53)           説明:送信元ポート20 - 53の範囲からのすべてのトラフィックを表示        aa から bb までの宛先ポート範囲へ           (port.dst geq aa) and (port.dst leq bb)           例:(port.dst geq 1024) and (port.dst leq 13002)           説明:宛先ポート1024 - 13002へのすべてのトラフィックを表示     日付/時間のトラフィック フィルタの例        特定の日時のすべてのトラフィック           (receive_time eq 'yyyy/mm/dd hh:mm:ss')           例:(receive_time eq '2015/08/31 08:30:00')           説明:2015年8月31日 午前8時30分に受信したすべてのトラフィックを表示        ある日時か、それ以前に受信したすべてのトラフィック           (receive_time leq 'yyyy/mm/dd hh:mm:ss')           例:(receive_time leq '2015/08/31 08:30:00')           説明:2015年8月31日 午前8時30分か、それより以前に受信したすべてのトラフィックを表示        ある日時か、それ以降に受信したすべてのトラフィック           (receive_time geq 'yyyy/mm/dd hh:mm:ss')           例:(receive_time geq '2015/08/31 08:30:00')           説明:2015年8月31日 午前8時30分か、それ以降に受信したすべてのトラフィックを表示        ある期間に受信したすべてのトラフィック           (receive_time geq 'yyyy/mm/dd hh:mm:ss') and (receive_time leq 'YYYY/MM/DD HH:MM:SS')           例:(receive_time geq '2015/08/30 08:30:00') and (receive_time leq '2015/08/31 01:25:00')           説明:2015年8月30日 午前8時30分から2015年8月31日 午前1時25分の間に受信したすべてのトラフィックを表示     インターフェイスのトラフィック フィルタの例        インターフェイス interface1/x でのインバウントのすべてのトラフィック           (interface.src eq 'ethernet1/x')           例:(interface.src eq 'ethernet1/2')           説明:Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/2 で受信したすべてのトラフィックを表示        インターフェイス interface1/x でのアウトバウンドのすべてのトラフィック           (interface.dst eq 'ethernet1/x')           例:(interface.dst eq 'ethernet1/5')           説明:Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/5 で送信されたすべてのトラフィックを表示     許可/拒否のトラフィック フィルタの例        ファイアウォールのルールによって許可されたすべてのトラフィック           (action eq allow)           OR          (action neq deny)           例:(action eq allow)           説明:ファイアウォールのルールによって許可されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'deny' ではないもの、つまり、許可されたすべてのトラフィックが表示されます。        ファイアウォールのルールによって拒否されたすべてのトラフィック           (action eq deny)           OR          (action neq allow)           例:(action eq deny)           説明:ファイアウォールのルールによって拒否されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'allow' ではないもの、つまり、拒否されたすべてのトラフィックが表示されます。     トラフィック フィルタの組合せ例        送信元がOUTSIDEゾーンで、かつ 10.10.10.0/24 のネットワーク内からで、かつ宛先がホスト 20.20.20.21 で、かつPROTECTゾーンへのすべてのトラフィック:           (zone.src eq OUTSIDE) and (addr.src in 10.10.10.0/24) and (addr.dst in 20.20.20.21) and (zone.dst eq PROTECT)        送信元ホストが 1.2.3.4 で、宛先ホストが 5.6.7.8、かつ2015年8月30日 0時0分から2015年8月31日 23時59分59秒までのすべてのトラフィック           (addr.src in 1.2.3.4) and (addr.dst in 5.6.7.8) and (receive_time geq '2015/08/30 00:00:00') and           (receive_time leq '2015/08/31 23:59:59')     著者:reaper
記事全体を表示
hshirai ‎08-19-2016 01:34 AM
17,406件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Group-Mapping in a Multi-Domain Active Directory Domain Services (AD DS) Forest https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-in-a-Multi-Domain-Active/ta-p/60784     PAN-OS 6.1にまで対応していますが、以降のバージョンについては、以下をご参照ください。   概要 この資料は、マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下で、クロス ドメイン ユーザーのユーザー名のフォーマットが矛盾しないように、グループ マッピングを正しく設定する方法について記載します。そのフォレストにおいて、他のドメインからすべてのオブジェクト (ユーザーあるいはグループ) を取得する場合、グループ マッピングに際して、「グローバル カタログ」として定義されたADサーバーを使用します。グローバル カタログは分散型のデータの貯蔵庫であり、そのフォレストの各ドメイン メンバーの中の各オブジェクトの検索可能な部分的な属性を保持します。   重要!適切に設定されていない場合、グループ マッピングの中の一部ユーザーが、netbios/domain-name (dummydomain/username) となる代わりに fqdn-domain-name/username (dummy.example.com/username) としてフォーマットされてしまい、User-IDエージェント、あるいはエージェト レスなUser-IDサービスから取得されたIPアドレスとユーザーのマッピングに矛盾を生んでしまう問題を起こす可能性があります。   手順 グローバル カタログ(通常はルート ドメイン)として設定されているADサーバーは、LDAPサーバーのプロファイル内に設定される必要があります。このサーバーの3268(あるいはSSL用の3269)ポートに接続します。 通常、PAN-OSにドメイン名を置き換えさせるために、ドメイン欄を設定します。そうしたくない場合は、空欄のままにします。 注:グローバル カタログに対してこの設定を行うことで、他のドメイン(フォレストのメンバー)も含め、このサーバーから取得されるすべてのユーザーとグループのドメイン名を置き換えてしまいますので、ご注意ください。空欄にしておくことで問題が起きる場合、ドメイン名(訳注:フルFQDNでないNetBIOS名の意)のみをこの欄に入力します。例えばドメインは"acme.local"の場合、"acme"が必要なので、"acme"とドメイン欄に入力します。 グループ マッピングの設定に、このプロファイルを使用します(また必要に応じて、設定済みのリストを使用します)。 ドメイン名が手順2にて手動で設定していない場合、別のLDAPサーバー プロファイルを使用するグループ マッピングの追加が必須であり、同じADサーバーに通常の389(あるいはSSL用の636)ポートの同じADサーバーにクエリを行います。この操作は、ユーザーのフォーマットを netbios_domain_name/username として正規化 するためのドメイン マップを正しく生成するために必要です。 このプロファイルは、ドメイン マップを取得するために使用するため、ドメイン欄を設定する必要はありませんが、空欄のままにしておくこともできます。ここで使用されているADサーバーは、フォレストの別のドメイン コントローラーになることができ、ドメイン マップにクエリするパーティション コンテナは、すべてのドメイン コントローラーで複製されます。手順2の注をご覧ください。 Active Directoryが多数のユーザーやグループを保持している場合、GM-AD設定の中で、それらのためにいくつかの検索フィルタを設定すると良いでしょう。これはこのグループ マッピングでのLDAPのクエリ結果による、管理プレーンのリソース影響を抑えるためです。 このグループ マッピングは、ドメイン マップを決めるためにだけ使用されているので、ユーザーやグループのために結果を取得したり操作したりする必要はありません。   この例では、検索フィルタは"Dummy"という文字列で設定していますが、LDAPのクエリ結果を確実に 0 とするために、ユーザーとグループのDescriptionフィールドにはその文字列"Dummy"が含まれなければいけません。   参照: LDAP Group Mappings in a Mixed 6.x and 7.x Environment with Panorama       著者:nbilly
記事全体を表示
hshirai ‎08-18-2016 07:34 PM
5,554件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Display Interface MAC Addresses https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Display-Interface-MAC-Addresses/ta-p/61225   概要 このドキュメントではインターフェイスの MAC アドレスを表示する方法ついて記述しています。   詳細 以下のコマンドを実行することで HA クラスターを含むファイアウォール上のインターフェイスのMACアドレスを表示できます。 例えばファイアウォール上の全てのインターフェイスの MAC アドレスを表示する場合、次のコマンドを実行します: > show interface all total configured hardware interfaces: 15 name                    id    speed/duplex/state        mac address -------------------------------------------------- ----------------------------- ethernet1/1             16    1000/full/up              00:1b:17:05:2c:10 ethernet1/2             17    1000/full/up              00:1b:17:05:2c:11 ethernet1/3             18    unknown/unknown/down      00:1b:17:00:0b:12 ethernet1/4             19    unknown/unknown/down      00:1b:17:00:0b:13 ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14 ethernet1/6             21    1000/full/up              00:1b:17:00:0b:15 ethernet1/7             22    unknown/unknown/down      00:1b:17:00:0b:16 ethernet1/8             23    100/full/up               00:1b:17:00:0b:17 ethernet1/9             24    100/full/up               00:1b:17:00:0b:18 ethernet1/10            25    100/full/up               00:1b:17:00:0b:19 ethernet1/11            26    unknown/unknown/down      00:1b:17:00:0b:1a ethernet1/12            27    unknown/unknown/down      00:1b:17:00:0b:1b vlan                    1     [n/a]/[n/a]/up            00:1b:17:00:0b:01 loopback                3     [n/a]/[n/a]/up            00:1b:17:00:0b:03 tunnel                  4     [n/a]/[n/a]/up            00:1b:17:00:0b:04   total configured logical interfaces: 21   特定のインターフェイスを表示する場合、次のコマンドを実行します: > show interface ethernet1/1   例: > show interface ethernet1/1 -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: auto/auto/up MAC address:   Port MAC address 00:1b:17:05:2c:10 Operation mode: ha -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Operation mode: ha Interface IP address: 2.2.2.2/24 Interface management profile: N/A Service configured: Zone: N/A, virtual system: N/A -------------------------------------------------- ----------------------------- Physical port counters read from MAC: -------------------------------------------------- ----------------------------- rx-broadcast                  0   HA クラスターの MAC アドレスを表示する場合、次のコマンドを実行します: > show high-availability state   For example: > show high-availability state Group 1:   Local Information:     Version: 1     State: active     Priority: 200     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Passive Hold Interval: 10 ms     Passive Link State: auto     Hello Message Interval: 1000 ms     Management IP Address: 10.30.14.7; netmask: 255.255.255.0     HA1 IP Address: 1.1.1.2; netmask: 255.255.255.0     HA1 MAC Address: 00:30:48:5d:45:f7     HA1 encryption enabled: False     HA2 MAC Address: 00:1b:17:01:18:06     Running Configuration: synchronized     State Synchronization: synchronized     Application Content Compatibility: Match     Threat Content Compatibility: Match     VPN Client Software Compatibility: Match   Peer Information:     Connection status: up     Version: 1     State: passive     Priority: 1     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Management IP Address: 10.30.14.6     HA1 IP Address: 1.1.1.1     HA1 MAC Address: 00:30:48:5d:0c:c1     HA2 MAC Address: 00:1b:17:01:14:06   HA クラスターの L3 インターフェイスの場合、show interface all コマンドで表示される MAC アドレスは仮想 MAC になります。 仮想 MAC のフォーマットは次の様になります:00-1B-17-00-xx-yy 00-1B-17: ベンダーID 00: 固定 xx: HAグループ ID yy: インターフェイス ID   次のコマンドは Active-Active の HA クラスターの仮想 MAC と仮想 IP を表示します: > show high-availability virtual-address   例: > show high-availability virtual-address Total interfaces with virtual address configured:   2 Total virtual addresses configured:                 2 -------------------------------------------------- ------------------------------ Interface: ethernet1/1   Virtual MAC:               00:1b:17:00:05:10   Virtual MAC from the peer: 00:1b:17:00:85:10   107.204.232.53                          Active:yes    Type:floating -------------------------------------------------- ------------------------------ Interface: ethernet1/6   Virtual MAC:               00:1b:17:00:05:15   Virtual MAC from the peer: 00:1b:17:00:85:15   192.168.90.1                            Active:yes    Type:floating -------------------------------------------------- ------------------------------   次のコマンドは Active-Passive の HA クラスターの仮想 MAC を表示します: > show interface all ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14   上記の例では HA グループ ID = 0b (16進数) = 11 (10進数)、インターフェイス ID = 14 (16進数) = 20 (10進数) となります。     著者:gcapuno
記事全体を表示
oconnellm ‎08-03-2016 02:06 AM
5,893件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Agentless User-ID Connection to Active Directory Servers Intermittently Connect and Disconnect https://live.paloaltonetworks.com/t5/Management-Articles/Agentless-User-ID-Connection-to-Active-Directory-Servers/ta-p/52041     問題 エージェントレスUser-IDで設定したActive Directoryのサーバーがファイアウォールとの接続を頻繁に切断します。これらのサーバーに対してユーザーマッピングのサーバー  モニタリングの接続状態は"connected"と"not connected"を繰り返します。User-IDのログは各々設定されたADサーバーに対して以下のエラーメッセージを記録します。 Error: pan_user_id_win_sess_query(pan_user_id_win.c:1241): session query for < サーバー名>   failed: [wmi/wmic.c:216:main()] ERROR: Retrieve result data.   以下のスクリーンショットが示すように、 "not connected"状態が[Device] > [ユーザー ID] > [ユーザー マッピング] > [サーバー モニタリング]で確認できます。   原因 エージェントレス User-IDはサーバー モニタリング リストのサーバーから、ユーザーのセッション情報をモニターします。ファイアウォールからADサーバーへのセッション 問い合わせはパーミッションの問題により失敗します。セッション情報へのアクセスに使用されるドメインアカウントが、ユーザーのセッション情報をサーバーから読み取る権限がないためです。Server Operators グループとDomain Adminsグループはセッションクエリを読む権限を持ちます。   以下の例が示すように [Device] > [ユーザー ID] > [ユーザー マッピング] > [Palo Alto Networks ユーザー ID エージェント設定]の[WMI 認証]にてユーザー名とパスワードの設定を行います。これはエージェントレス User IDがADサーバー(この例では172.30.30.15)接続するのに使用されます。   下記の例のとおり、ADサーバー(172.30.30.15)はユーザー cr7の権限を確認しています。   解決策 オプション1: Server OperatorsまたはDomain Adminsの権限をWMI認証に使うアカウントに付与します。この例では、cr7に Server Operatorsを付与しています。 Server Operators権限をcr7に付与した後、以下の例ではエージェントレス User-IDはADサーバーへの接続に成功しています。 オプション2: 必要でなければ、サーバーセッションを読み取るためのオプション)を無効にします([セッションの有効化]のチェックを外す)。   訳注:オプション1で付与する権限は、最小限のものとなるよう検討してください。より安全なUser-ID 展開のため、下記の文書も合わせてご参照ください。   Best practices for securing User-ID deployments(原文) 安全な User-ID 展開のためのベスト プラクティス(上記文書の日本語訳)     著者: knarra
記事全体を表示
TShimizu ‎07-28-2016 10:02 PM
3,220件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GUI Error 'opaque: Failed to check content upgrade info due to generic communication error' https://live.paloaltonetworks.com/t5/Management-Articles/GUI-Error-opaque-Failed-to-check-content-upgrade-info-due-to/ta-p/60791     症状 日常的に、ファイアウォールは以下のエラーを報告します: opaque: Failed to check Content content upgrade info due to generic communication error   アップデート サーバーへの接続は確認されましたが、問題は何も見つかりませんでした。   問題 このエラーは、2つ、あるいはそれ以上のコンテンツのアップデートが、同時刻に実行されるように予定が組まれている場合に発生します (例:アンチウィルスやURLデータベース)。   解決方法 [ Device] > [ ダイナミック更新 ] 画面から、コンテンツのデータベース毎に予定を変更し、更新時間が同じか、あるいは近い時間にならないようにします。     著者:rvanderveken
記事全体を表示
hshirai ‎07-27-2016 09:00 PM
6,091件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Software Download Error: 'Failed to download due to server error. Please try again later. Failed to download file' https://live.paloaltonetworks.com/t5/Management-Articles/Software-Download-Error-Failed-to-download-due-to-server-error/ta-p/57458     訳注:本文書で紹介している内容は、PAN-OS 6.0から対応しています。   問題 Palo Alto Networksファイアウォール上でPAN-OS 6.0、あるいはそれ以降のバージョンをダウンロードする際に、時折ダウンロードが失敗し、以下のエラーが表示されることがあります: "Failed to download due to server error. Please try again later. Failed to download file".   詳細 次の CLI コマンドを使用して "ms.log" を確認します: > less mp-log ms.log 同様のエラー メッセージを探します: "2014-07-18 16:20:15.701 -0600 Error:  _pan_mgmtop_system_upgrade_download_version(pan_ops_common.c:9107): Failed to purge old uploaded files grep: /tmp/pan/downloadprogress.10999: No such file or directory"   下記の画像は、ソフトウェアをダウンロードしている際のエラーを表示しているスクリーンショットです:   下記の画像は、次のCLIコマンドの出力結果です: > less mp-log ms.log     解決方法 この問題を解決するために、以下の手順に従います: WebGUIにて、[ Device ] > [ ソフトウェア ] を開きます。 最新版のソフトウェアを確認するために、「今すぐチェック」をクリックします: ダウンロードするソフトウェアのバージョンを確認し、「ダウンロード」をクリックします:     著者:achalla
記事全体を表示
hshirai ‎07-27-2016 08:21 PM
6,106件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 BrightCloud to PAN-DB Category Mapping https://live.paloaltonetworks.com/t5/Migration-Articles/BrightCloud-to-PAN-DB-Category-Mapping/ta-p/57350   下記の表は、BrightCloud URLのカテゴリとPAN-DB URLのカテゴリの相関関係を表しています。PAN-DBライセンスを有効にする過程の中で、既存のURLフィルタリングのプロファイルが見つかった場合、下記の対応表を基に、PAN-OSは自動的にそれらのプロファイルを新しいPAN-DBのカテゴリに紐付けます。N:1での紐付けを行う場合には、新しいPAN-DBカテゴリに対しては、もっとも厳格なアクションが使用されます。   どのような変更を行う場合であっても、事前に設定を保存しておくのを常に忘れないようにしてください。また、移行後は、URLプロファイルが正しいことをダブルチェックするようにしてください。   PAN-DBのカテゴリ一覧とその説明は、こちらをご覧ください: urlfiltering.paloaltonetworks.com/CategoryList.aspx   BrightCloud カテゴリ PAN-DB カテゴリ Abortion Abortion Abused Drugs Abused Drugs Adult and Pornography Adult Alcohol and Tobacco Alcohol and Tobacco Auctions Auctions Bot Nets Malware Business and Economy Business and Economy Cheating Questionable Computer and Internet Info Computer and Internet Info Computer and Internet Security Computer and Internet Info Confirmed SPAM Sources Malware Content Delivery Networks Content Delivery Networks Cult and Occult Religion Dating Dating Dead Sites N/A Dynamically Generated Content N/A (no mapping as URL will be categorized based on the content) Educational Institutions Educational Institutions Entertainment and Arts Entertainment and Arts Fashion and Beauty Society Financial Services Financial Services Games Games Government Government Gross Questionable Hacking Hacking Hate and Racism Questionable Health and Medicine Health and Medicine Home and Garden Home and Garden Hunting and Fishing Hunting and Fishing Illegal Questionable Image and Video Search Search Engines Individual Stock Advice and Tools Stock advice and tools Internet Communications Internet Communications and Telephony Internet Portals Internet Portals Job Search Job Search Keyloggers and Monitoring Malware Kids Society Legal Legal Local Information Travel Malware Sites Malware Marijuana Abused Drugs Military Military Motor Vehicles Motor Vehicles News and Media News not-resolved Not-resolved Nudity Nudity Online-gambling Gambling Online Greeting cards Entertainment and Arts Online - music Music Online - personal-storage Online storage and backup Open HTTP Proxies Proxy Avoidance and Anonymizers Parked Domains Parked Pay to Surf Web Advertisements Peer to Peer Peer-to-peer Personal sites and Blogs Personal sites and blogs Philosophy and Political Advocacy Philosophy and Political Advocacy Phishing and Other Frauds Phishing Private IP Addresses Private IP Addresses Proxy Avoidance and Anonymizers Proxy Avoidance and Anonymizers Questionable Questionable Real Estate Real Estate Recreation and Hobbies Recreation and Hobbies Reference and Research Reference and Research Religion Religion Search Engines Search Engines Sex Education Sex Education Shareware and Freeware Shareware and Freware Shopping Shopping Social Networking Social Networking Society Society SPAM URLs Malware Sports Sports Spyware and Adware Malware Streaming Media Streaming Media Swimsuits & Intimate Apparel Swimsuits and Intimate Apparel Training and Tools Training and Tools Translation Translation Travel Travel Unconfirmed SPAM Sources Malware Unknown Unknown Violence Questionable Weapons Weapons Web Advertisements Web Advertisements Web based email Web-based Email Web Hosting Web Hosting    著者:dyang
記事全体を表示
hshirai ‎07-27-2016 07:48 PM
11,857件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Troubleshooting Slowness with Traffic, Management, or Intermittent SSL Decryption https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-Slowness-with-Traffic-Management-or-Intermittent/ta-p/61805    インターネットのトラフィックやデバイスの管理、あるいはPalo Alto Networksデバイスを通過するトラフィックの遅延が断続的に発生している場合、デバイス上の負荷を確認するためのコマンドがいくつかあります。それぞれについて簡易的な説明を以下に記述します。   > show system info – このコマンドはシステム情報を表示します。"uptime"を確認し、値がリセットされているように見える場合、デバイスかデータ プレーンはリセットされています。 hostname: Corp-FCS-vwire ip-address: 10.16.3.222 netmask: 255.255.252.0 default-gateway: 10.16.0.1 mac-address: 00:30:48:61:67:b8 time: Wed Jan 28 21:04:19 2009 uptime: 1 days, 7:35:43 family: 4000 model: PA-4050 serial: 0001a100269 sw-version: 2.0.8-h1 app-version: 106-807 threat-version: 106-807 url-filtering-version: 2191 logdb-version: 2.0.5   以下のコマンドを使うことで、SSL復号化メモリの使用率を表示することができます:"sz malloc size"は監視用の値です。この値は増減すべきですが、増加しかしない場合には注意する必要があります。 > show system setting ssl-decrypt memory > show system setting ssl-decrypt certificate-cache proxy allocator alloc size 516387, max 553169 fixed buf allocator, size 16767736 sz malloc size 1119232, max 1283072   ssl cert cache allocator alloc size 269178, max 269178 fixed chunk allocator, size 8376144 chunk size 3072 malloc size 688128, max 688128   > show system resources – このコマンドは、現在のシステムのプロセッサの動作状況のスナップショットを表示します。 top - 21:55:51 up 1 day, 8:27, 1 user, load average: 0.00, 0.00, 0.00 Tasks: 77 total,  1 running, 76 sleeping,  0 stopped,  0 zombie Cpu(s): 0.2%us, 0.1%sy, 0.0%ni 99.5%id, 0.1%wa, 0.0%hi, 0.0%si, 0.0%st Mem:  1035916k total, 1017948k used,   17968k free,  151768k buffers Swap: 2008084k total, 1000820k used, 1007264k free,  496848k cached PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM   TIME+  COMMAND   1 root  16   0  1648  472  452 S    0  0.0  0:01.11 init   2 root  RT   0     0    0    0 S    0  0.0  0:00.00 migration/0   3 root  34  19     0    0    0 S    0  0.0  0:00.00 ksoftirqd/0   4 root  RT   0     0    0    0 S    0  0.0  0:00.00 migration/1   5 root  34  19     0    0    0 S    0  0.0  0:00.00 ksoftirqd/1   6 root  10  -5     0    0    0 S    0  0.0  0:00.00 events/0   7 root  10  -5     0    0    0 S    0  0.0  0:00.00 events/1   8 root  10  -5     0    0    0 S    0  0.0  0:00.00 khelper   9 root  10  -5     0    0    0 S    0  0.0  0:00.00 kthread  12 root  10  -5     0    0    0 S    0  0.0  0:00.01 kblockd/0  13 root  10  -5     0    0    0 S    0  0.0  0:00.03 kblockd/1  14 root  13  -5     0    0    0 S    0  0.0  0:00.00 kacpid 120 root  10  -5     0    0    0 S    0  0.0  0:00.00 khubd 122 root  10  -5     0    0    0 S    0  0.0  0:00.00 kseriod 178 root  15   0     0    0    0 S    0  0.0  0:00.01 pdflush 179 root  15   0     0    0    0 S    0  0.0  0:02.23 kswapd0   > show session info – このコマンドは、セッションの統計とセッションの設定パラメーターを表示します。アクティブなセッションが増加することを確認するために、数回このコマンドを実行します。 ----------------------------------------------------------- number of sessions supported:                   2097151 number of active sessions:                      543 number of active TCP sessions:                  378 number of active UDP sessions:                  148 number of active ICMP sessions:                 3 session table utilization:                      0% number of sessions created since system bootup: 912668 Packet rate:                                    234/s Throughput:                                     1067 Kbps ----------------------------------------------------------- session timeout   TCP default timeout:                        3600 seconds   TCP session timeout before 3-way handshaking:  5 seconds   TCP session timeout after FIN/RST:            30 seconds   UDP default timeout:                          30 seconds   ICMP default timeout:                          6 seconds   other IP default timeout:                     30 seconds ----------------------------------------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                               2 X ----------------------------------------------------------- session setup   TCP - reject non-SYN first packet:            yes   hardware session offloading:                  yes ----------------------------------------------------------- application trickling scan parameters:   timeout to determine application trickling:   10 seconds   resource utilization threhold to start scan:  80%   scan scaling factor over regular aging:       8 -----------------------------------------------------------   > show system statistics – このコマンドは、リアルタイムなシステムの統計を表示します:表示を切り替えるための追加キーがあり、下記に記載しています。 Device is up          : 1 day 9 hours 10 mins 55 sec Packet rate           : 597/s Throughput            : 3211 Kbps Total active sessions : 642 Active TCP sessions   : 477 Active UDP sessions   : 155 Active ICMP sessions  : 4 You can type the following key to switch what to display -------------------------------------------------------- 'a' - Display application statistics 'h' - Display this help page 'l' - Display logging statistics 'q' - Quit this program 's' - Display system statistics   > debug dataplane pool statistics – このコマンドは、現在のプールの使用率を表示します。2つ目の数字はバッファー サイズを表し、最初の数字は利用可能なバッファーを表しています。 Hardware Pools [ 0] Packet Buffers            :    57240/57344    0x8000000410000000 [ 1] Work Queue Entries        :   229290/229376   0x8000000417000000 [ 2] Output Buffers            :      975/1024     0x8000000418c00000 [ 3] DFA Result                :     4095/4096     0x8000000419100000      DFA Result                : [ 4] Timer Buffers             :     4092/4096     0x8000000418d00000      Timer Buffers             : [ 5] Buffers with 256 bytes    :     1024/1024     0x8000000419500000 [ 6] Buffers with 2048 bytes   :     1023/1024     0x8000000419540000 Software Pools [ 0] software packet buffer 0  :    65514/65536    0x8000000024d00680 [ 1] software packet buffer 1  :    32768/32768    0x8000000026d50780 [ 2] software packet buffer 2  :    32768/32768    0x8000000028d78880 [ 3] software packet buffer 3  :    32768/32768    0x800000002cda0980 [ 4] software packet buffer 4  :      256/256      0x800000004edc8a80 [ 5] Pktlog logs               :    10000/10000    0x8000000020c68930 [ 6] Pktlog threats            :     4999/5000     0x8000000020ebec70 [ 7] Pktlog packet             :     4999/5000     0x8000000020fe9e90 [ 8] Pktlog large              :       56/56       0x8000000021871cf0 [ 9] CTD Flow                  :  1048302/1048576  0x8000000099365498 [10] CTD AV Block              :       32/32       0x80000000b9865598 [11] SML VM Fields             :   130843/131072   0x80000000b986d718 [12] SML VM Vchecks            :    65536/65536    0x80000000b9d0d818 [13] Detector Threats          :    64710/65536    0x80000000b9e5d918 [14] Regex Results             :      512/512      0x8000000021bf9090 [15] TIMER Chunk               :   131072/131072   0x80000000bbbf6460 [16] FPTCP segs                :    32768/32768    0x80000000bdc96588 [17] Proxy session             :    16384/16384    0x80000000bdd3e688 [18] SSL  Handshake State      :    32768/32768    0x80000000c2892788   > debug dataplane show resource-monitor – このコマンドは、異なる時間におけるCPUの負荷を表示します。ここでは、90%か、それよりもっと高い値を探します。 PANOS  3.1.x > show running resource-monitor Resource monitoring sampling data (per second): CPU load (%) during last 60 seconds: core  0   1   2   3   4   5   6   7   8   9  10  11  12  13  14  15       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0    -- 以下略 --   Resource utilization (%) during last 60 seconds: session:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip):  2  1  1  1  1  1  1  1  1  1  1  2  1  1  1  1  2  2  2  2  1  2  2  2  2  2  2  2  2  1  1  1  2  1  2  2  1  2  2  1  1  1  1  1  1  1  2  2  1  1  2  1  1  1  1  1  1  2  1  2   Resource monitoring statistics (per minute): CPU load (%) during last 60 minutes: core  0    1    2    3    4    5    6    7 avg max avg max avg max avg max avg max avg max avg max avg max   0   0   0   0   0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0   0   0   1   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   1   2   0   1   0   1   0   1   0   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   1   2   0   1   0   0   0   0   0   2  -- 以下略 --   > show counter global – このコマンドは、すべてのシステムのカウンタ値を表示します。"pkt recv"と"pkt sent"の値が増加していることを確認します。 Global counters: name                           value    description ------------------------------------------------------------------------------- pkt_recv                   128014692    Packets received pkt_recv_err                       0    Packet receive error pkt_recv_multiple_bufs             0    Packets received with multiple buffers pkt_recv_short_pkt                 0    Packet receive short packets pkt_recv_throttle_cos              0    Packets throttled by QoS control pkt_sent                    82097891    Packets transmitted pkt_sent_err                      13    Packet transmit error pkt_outstanding                    0    Outstanding packet to be transmitted pkt_alloc                    3236305    Packets allocated   > show counter global | match drop – このコマンドは、"drop"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_rcv_err                 293    Packets dropped: flow stage receive error flow_no_interface              0    Packets dropped: invalid interface flow_np_rcv_err                0    Packets dropped: receive error from offload processor flow_np_rcv_ihdr_err           0    Packets dropped: invalid packet header flow_np_rcv_tag_err            0    Packets dropped: invalid packet header content flow_scan_drop                 0    Session setup: denied by scan detection flow_tcp_non_syn_drop      10886    Packets dropped: non-SYN TCP without session match   > show counter global | match deny - このコマンドは、"deny"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_policy_deny               0    Session setup: denied by policy flow_host_service_deny         0    Device management session denied binahara@Corp-FCS-vwire>   > show counter global | match syn - このコマンドは、"syn"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_tcp_non_syn                     10896    Non-SYN TCP packets without session match flow_tcp_non_syn_drop                10896    Packets dropped: non-SYN TCP without session match flow_parse_l4_tcpsynurg                  0    Packets dropped: invalid TCP flags (SYN+URG+*) flow_parse_l4_tcpsynrst                  0    Packets dropped: invalid TCP flags (SYN+RST+*) flow_parse_l4_tcpsynfin                  0    Packets dropped: invalid TCP flags (SYN+FIN+*) flow_dos_red_tcp                         0    Packet dropped: Zone protection protocol "tcp-syn" RED flow_dos_syncookie                       0    Packet dropped: SYN cookies maximum threshold reached flow_dos_syncookie_cookie_sent           0    TCP SYN cookies: cookies sent flow_dos_syncookie_ack_recv              0    TCP SYN cookies: ACKs to cookies received flow_dos_syncookie_ack_err               0    TCP SYN cookies: Invalid ACKs received flow_dos_syncookie_svr_ack_recv          0    TCP SYN cookies: Server ACKs received tcp_syn_missing                      10150    miss SYN packet for tcp session   > show counter global | match error - このコマンドは、"error"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 pkt_recv_err                   0    Packet receive error pkt_sent_err                  13    Packet transmit error pkt_alloc_failure              0    Packet allocation error pkt_alloc_failure_cos          0    Packet allocation error due to QoS control pkt_swbuf_alloc_failure        0    Software packet buffer allocation error wqe_alloc_failure              0    Packet descriptor allocation error session_alloc_failure          0    Session allocation error session_install_error          0    Sessions installation error session_state_error            0    Session state error session_peer_not_close         0    installation flow close error session_timer_error            0    Session aging timer error flow_rcv_err                 293    Packets dropped: flow stage receive error   > show system state - このコマンドは、すべてのシステムのスナップショットを表示します。このコマンドでは、複数行 (約1,000行) が表示されます。 <response status="success"><result>cfg.agent.buf-size: 0xf00000 cfg.agent.max-buckets: 0x8000 cfg.app.capture.disk: 0x1400000 cfg.apptracker.entries: 0x10000 cfg.capability.regex.alt: 0x0 cfg.cdfa.buf-size: 0x500000 cfg.cfg.buf-size: 0xc00000 cfg.cfg.general.max-device: 1 cfg.cfg.if-shm-size: 0x1000000 cfg.cfg.max-pool-entry: 0x200 cfg.cfg.max-ucache-entry: 0x9c40 cfg.cfg.ucache-size: 0xa00000 cfg.cfg.vsys-size-large: 0x200000 cfg.cfg.vsys-size-medium: 0x80000 cfg.cfg.vsys-size-small: 0x10000   参照 How to Interpret: show system resources How to Interpret: show running resource-monitor     著者:panagent
記事全体を表示
hshirai ‎07-27-2016 01:34 AM
8,151件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Email-Alerts-for-System-Logs/ta-p/60279   詳細 システム ログを Email で送信するための手順は以下となります: 電子メール サーバー プロファイルの作成 Device > ログ設定 - システム へ移動し、電子メール プロファイルを設定する   電子メール プロファイルの設定 Device > サーバー プロファイル > 電子メール へ移動し、追加をクリックし必須項目を入力します (以下の例を参照): プロファイル名(Name): 電子メール サーバー プロファイルの名前を入力 サーバ名(Name): サーバーの識別に使用する名前を入力 (1-31 文字) 電子メール表示名(Display name): 電子メールの [送信者] フィールドに表示される名前を入力 送信者IP(From): 送信元のEmailアドレスを入力 宛先(To): 受信者のEmailアドレスを入力 その他の受信者(Cc): CCとして同時に送信する宛先Emailアドレスを入力 (オプション) 電子メールゲートウェイ(Gateway): Emailの送信に使用するSMTPサーバのIPアドレスまたはホスト名を入力   システムログの設定 Device > ログ設定 > システム に移動します Emailを送信したいシステム ログの重大度を選択します。下記の場合、"重大度 = critical" のみEmailで送信するよう設定されています。 重大度をクリックし、電子メールのプルダウンから上記で設定したプロファイルを選択します。 著者: mvenkatesan  
記事全体を表示
tsakurai ‎07-27-2016 01:01 AM
9,442件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Layer 2 to Layer 3 Connection on the Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Layer-2-to-Layer-3-Connection-on-the-Palo/ta-p/52787   レイヤー2からレイヤー3へのファイアウォール上での設定 レイヤー3インターフェイスを設定し、レイヤー3ネットワークに接続します。 仮想ルーターとレイヤー3のゾーンを設定します(レイヤー3インターフェイスを仮想ルーターとゾーンに追加する)。仮想ルーターには適切なデフォルト ゲートウェイを設定していることを確認してください。 レイヤー2インターフェイスを 設定し、レイヤー2ネットワークに接続します。またそのインターフェイスを追加したレイヤー2のゾーンも作成します。 レイヤー2ネットワークと同じブロードキャスト ドメインのIPアドレスを持つVLANインターフェイスを設定します。このVLANインターフェイスは手順2と同じ仮想ルーターに入れてください。該当のVLANインターフェイス用のゾーンを作成し、作成したVLANインターフェイスを追加してください。 VLANを作成し、レイヤー2インターフェイスとVLANインターフェイスをそれに追加します。 注:PAN-OS 5.0以前ではこのVLANにてL3 転送を有効にします。 VLANインターフェイスを持つゾーンからレイヤー3インターフェイスを持つゾーンへの通信を許可するポリシーを設定します。 レイヤー3インターフェイスを持つゾーンからVLANインターフェイスを持つゾーンへの通信を許可するポリシーを設定しても構いません。 以下の図は、PCがインターネットクラウドに到達でき、またインターネットからPCへのアクセス(リモート デスクトップ)を許可するシナリオを示しています。このようにインバウンドNATルール(宛先NAT)とアウトバウンドNATルール(送信元NAT)を設定します。NATルールについては、図の下にあるスクリーン キャプチャを参照してください。 コミットを実施します。   レイヤー2からレイヤー3へ通信する環境のネットワーク概要図 Networkタブでの物理インターフェイスとVLANインターフェイスの設定(  1/3、1/9とvlan.1を使用しています )。 必要なセキュリティーポリシー。 設定したNATポリシー。   著者:swhyte
記事全体を表示
TShimizu ‎07-26-2016 05:27 PM
8,070件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Interpret: show running resource-monitor https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Interpret-show-running-resource-monitor/ta-p/57654   " show running resource-monitor"コマンドは、 データプレーン (DP) のCPUとバッファーの使用率について、様々な時間間隔での概要を示します。 CPU使用率の出力の中で規定されている"Core"は、それぞれ専用の機能を備えています: Core 0:管理プレーン (MP) とデータ プレーン (DP) との通信に使用されます Core 1:セッションとフロー管理に使用されます Core 2、及びそれ以降:ネットワーク トラフィックとログの処理のために使用されます "Resource utilization"は、セッションとバッファーの使用率を%で示します。"packet descriptors"あるいは"packet buffers"の出力が80%よりも大きい場合、デバイスがオーバー ロードしていることを示唆しており、パケット ロスやデバイスが異常な挙動につながる可能性があります。 同じ出力を"dp-monitor"ログファイルから得ることもできます: less dp-log dp-monitor.log 出力例は以下の通りです: admin@PA-2050(active)> show running resource-monitor Resource monitoring sampling data (per second): CPU load sampling by group: flow_lookup         :  0% flow_fastpath       :  0% flow_slowpath       :  0% flow_forwarding     :  0% flow_mgmt           :  1% flow_ctrl           :  1% nac_result          :  0% flow_np             :  0% dfa_result          :  0% module_internal     :  0% aho_result          :  0% zip_result          :  0% pktlog_forwarding   :  0% pci                 :  0% flow_host           :  1% CPU load (%) during last 60 seconds: core 0  1  2  3      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      -- 以下略 --   Resource utilization (%) during last 60 seconds: session:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per minute): CPU load (%) during last 60 minutes: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   -- 以下略 --   Resource utilization (%) during last 60 minutes: session (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 session (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip) (average):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 packet descriptor (on-chip) (maximum):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per hour): CPU load (%) during last 24 hours: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0 Resource utilization (%) during last 24 hours: session (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 session (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet buffer (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet buffer (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (on-chip) (average):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1 packet descriptor (on-chip) (maximum):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per day): CPU load (%) during last 7 days: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   3   0   0   0   0   0   0   1   3   0   7   0   4   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0 Resource utilization (%) during last 7 days: session (average):   0   0   0   0   0   0   0 session (maximum):   0   0   0   0   0   0   0 packet buffer (average):   0   0   0   0   0   0   0 packet buffer (maximum):   0   0   0   0   0   0   0 packet descriptor (average):   0   0   0   0   0   0   0 packet descriptor (maximum):   0   0   0   0   0   0   0 packet descriptor (on-chip) (average):   1   1   0   0   0   0   0 packet descriptor (on-chip) (maximum):   1   1   0   0   0   0   0 Resource monitoring sampling data (per week): CPU load (%) during last 13 weeks: core  0   1   2   3 avg max avg max avg max avg max   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0 Resource utilization (%) during last 13 weeks: session (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 session (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet buffer (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet buffer (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (on-chip) (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (on-chip) (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0   上記の"CPU load"、"session"、"packet buffer"、"packet descriptors"の%値の行列状(マトリクス)の出力について説明します。" during last 60 minutes: )"部分の出力を例に取ると、最初のエントリは1秒前のもの、最後のエントリは60秒前のものを意味します。 " show running resource-monitor"は1日毎、1時間毎などのように、結果をフィルタすることができます: admin@PA-2050(active)> show running resource-monitor > day      Per-day monitoring statistics > hour     Per-hour monitoring statistics > minute   Per-minute monitoring statistics > second   Per-second monitoring statistics > week     Per-week monitoring statistics   |        Pipe through a command   <Enter>  Finish input   著者:sdarapuneni
記事全体を表示
hshirai ‎07-26-2016 01:32 AM
8,653件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Interpret: show system resources https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Interpret-show-system-resources/ta-p/59364     show system resourcesのコマンドは、実行した時点でのCPUやメモリーを含んだManagement Plane (MP)のリソース使用率を表示します。これはLinuxの'top'コマンドと同様の物です。   show system resourcesは使用しているメモリーの量、利用可能なメモリーの量、およびMPがSWAPを使用しているかどうかなどの情報も表示します。 一貫してSWAPの使用率が高い場合、ファイアウォール上のプロセスがメモリーの解放に失敗しているかもしくはメモリーが不足している可能性があります。   MPが長時間SWAPを使用しているのを確認するには、以下の出力例でハイライトしたkswapd プロセスを参照します。このプロセスが何時間も動いている場合、絶えずメモリースワップが動いていることになりメモリーの使用量を減らす必要があるかもしれません。   重要な値はSwap、 Mem、 CPU 待機時間 (%wa)、 仮想メモリー使用率 (VIRT) 、そして CPU 使用率 (%CPU)です。これらの値はMP CPUの高負荷やMP反応の遅延の原因調査に役立ちます。CPU 待機時間が高い場合、MPはプロセスがCPUを解放するのを待っている状態であることを示します。   メモリーやCPUの使用率をリアルタイムで表示したい場合はこのコマンドを実行します:show system resources follow  このコマンド出力の見本が以下です:   admin@PA-2050(active)> show system resources   top - 21:20:50 up 2 days,  9:13,  1 user,  load average: 0.00, 0.03, 0.01 Tasks:  94 total,   1 running,  93 sleeping,   0 stopped,   0 zombie Cpu(s):  3.7%us,  2.0%sy,  1.0%ni, 92.8%id,  0.3%wa ,  0.0%hi,  0.1%si,  0.0%st Mem:     995888k total,   589744k used,   406144k free,     6360k buffers Swap:   2008084k total,   229308k used,  1778776k free,   143536k cached     PID USER      PR  NI  VIRT   RES  SHR S %CPU %MEM    TIME+  COMMAND           28868       20   0  4468 1020  800 R    4  0.1   0:00.06 top               2110       15  -5 44732  10m 1284 S    2  1.1  41:27.91 sysd                  1       20   0  1836  560  536 S    0  0.1   0:02.37 init                  2       20   0     0    0    0 S    0  0.0   0:00.00 kthreadd              3       RT   0     0    0    0 S    0  0.0   0:00.99 migration/0           4       20   0     0    0    0 S    0  0.0   0:00.01 ksoftirqd/0           5       RT   0     0    0    0 S    0  0.0   0:00.87 migration/1           6       20   0     0    0    0 S    0  0.0   0:00.02 ksoftirqd/1           7       20   0     0    0    0 S    0  0.0   0:00.02 events/0              8       20   0     0    0    0 S    0  0.0   0:00.00 events/1              9       20   0     0    0    0 S    0  0.0   0:00.04 khelper              12       20   0     0    0    0 S    0  0.0   0:00.00 async/mgr           112       20   0     0    0    0 S    0  0.0   0:00.00 sync_supers         114       20   0     0    0    0 S    0  0.0   0:00.00 bdi-default         115       20   0     0    0    0 S    0  0.0   0:00.50 kblockd/0           116       20   0     0    0    0 S    0  0.0   0:00.28 kblockd/1           125       20   0     0    0    0 S    0  0.0   0:00.00 ata/0               126       20   0     0    0    0 S    0  0.0   0:00.00 ata/1               127       20   0     0    0    0 S    0  0.0   0:00.00 ata_aux             132       20   0     0    0    0 S    0  0.0   0:00.00 khubd               135       20   0     0    0    0 S    0  0.0   0:00.00 kseriod             154       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/0            155       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/1            167       20   0     0    0    0 S    0  0.0   0:22.37 kswapd0             168       20   0     0    0    0 S    0  0.0   0:00.00 aio/0               169       20   0     0    0    0 S    0  0.0   0:00.00 aio/1               170       20   0     0    0    0 S    0  0.0   0:00.00 nfsiod              723       20   0     0    0    0 S    0  0.0   0:00.00 octeon-ethernet     741       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_0           743       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_1           750       20   0     0    0    0 S    0  0.0   0:01.22 mtdblockd           773       20   0     0    0    0 S    0  0.0   0:00.00 usbhid_resumer      812       20   0     0    0    0 S    0  0.0   0:08.53 kjournald           865       16  -4  2008  404  400 S    0  0.0   0:01.44 udevd             1699       20   0     0    0    0 S    0  0.0   0:00.23 kjournald         1700       20   0     0    0    0 S    0  0.0   0:00.00 kjournald         1786       20   0     0    0    0 S    0  0.0   0:09.67 flush-8:0         1845       20   0  2008  620  572 S    0  0.1   0:01.71 syslogd           1848       20   0  1892  332  328 S    0  0.0   0:00.03 klogd             1856 rpc       20   0  2084  492  488 S    0  0.0   0:00.00 portmap           1874       20   0  2116  652  648 S    0  0.1   0:00.05 rpc.statd         1943       20   0  6852  632  548 S    0  0.1   0:00.37 sshd              1991       20   0  6788  396  392 S    0  0.0   0:00.00 sshd              2000       20   0  3280  616  612 S    0  0.1   0:00.02 xinetd            2019       20   0     0    0    0 S    0  0.0   0:00.00 lockd             2020       20   0     0    0    0 S    0  0.0   0:17.21 nfsd              2021       20   0     0    0    0 S    0  0.0   0:16.13 nfsd              2022       20   0     0    0    0 S    0  0.0   0:17.91 nfsd              2023       20   0     0    0    0 S    0  0.0   0:18.69 nfsd              2024       20   0     0    0    0 S    0  0.0   0:18.05 nfsd              2025       20   0     0    0    0 S    0  0.0   0:20.57 nfsd              2026       20   0     0    0    0 S    0  0.0   0:20.01 nfsd              2027       20   0     0    0    0 S    0  0.0   0:21.30 nfsd              2030       20   0  2360  676  580 S    0  0.1   0:00.78 rpc.mountd        2093        0 -20 62128 4608 1912 S    0  0.5   5:40.59 masterd_core      2096       20   0  1888  456  452 S    0  0.0   0:00.00 agetty            2103        0 -20 26132 1348 1000 S    0  0.1   0:18.85 masterd_manager   2112        0 -20 30196 4820 1068 S    0  0.5   9:06.26 masterd_manager   2116       20   0 89320 4144 1912 S    0  0.4   0:03.50 dagger            2117       30  10 38644 3628 1664 S    0  0.4   9:34.83 python            2118       20   0 76972 3800 1708 S    0  0.4   0:07.12 cryptod           2119       20   0  164m 1948 1224 S    0  0.2   1:29.02 sysdagent         2135       20   0  7212  644  640 S    0  0.1   0:00.09 tscat             2136       20   0 69884 1088  940 S    0  0.1   0:53.74 brdagent          2137       20   0 30080 1152  968 S    0  0.1   0:21.93 ehmon             2138       20   0 45560 1196 1032 S    0  0.1   0:00.81 chasd             2286       20   0     0    0    0 S    0  0.0   0:00.04 kjournald         2343       20   0  464m 204m 4268 S    0 21.1  88:22.09 mgmtsrvr          2364       20   0  390m  78m  10m S    0  8.1  88:19.21 devsrvr           2372       20   0 88812 2344 1788 S    0  0.2   0:00.85 ikemgr            2373       20   0  239m  11m 2004 S    0  1.2   0:04.17 logrcvr           2374       20   0 96188 2320 1808 S    0  0.2   0:00.60 rasmgr            2375       20   0 95036 1148 1008 S    0  0.1   0:00.46 keymgr            2376       20   0  199m 1516 1180 S    0  0.2   0:00.74 varrcvr           2377       17  -3 54936 2272 1524 S    0  0.2   0:29.27 ha_agent          2378       20   0 86468 1904 1380 S    0  0.2   0:02.32 sslmgr            2379       20   0 55576 3016 1408 S    0  0.3   0:01.16 dhcpd             2380       20   0  168m  33m  32m S    0  3.5   0:15.94 useridd           2381       20   0 73352 4024 1712 S    0  0.4   0:06.71 dnsproxyd         2382       20   0 72592 1928 1512 S    0  0.2   0:00.87 pppoed            2383       20   0  133m 3848 1832 S    0  0.4   0:27.02 routed            2384       20   0  127m 4348 3460 S    0  0.4   0:16.43 authd             3014       20   0 25320 2140 1344 S    0  0.2   0:02.84 snmpd             3051 nobody    20   0  203m  41m 4888 S    0  4.3  10:46.93 appweb3           3640 nobody    20   0  133m 4788 1732 S    0  0.5   0:16.00 appweb3           3654 nobody    20   0  113m 2556 1916 S    0  0.3   0:08.02 appweb3           6952       20   0  2900  628  572 S    0  0.1   0:00.11 crond             9129       20   0  3980 3848 2956 S    0  0.4   0:00.06 ntpd              26980       20   0 21324 2440 2012 S    0  0.2   0:00.18 sshd              26991 admin     20   0 21324 1504 1060 S    0  0.2   0:00.03 sshd              26992 admin     20   0 95068  21m  10m S    0  2.2   0:03.55 cli               28865 admin     20   0  2976  668  564 S    0  0.1   0:00.06 less              28867       20   0  3832 1192 1056 S    0  0.1   0:00.04 sh                28869       20   0  1940  540  464 S    0  0.1   0:00.00 sed                          著者:sdarapuneni  
記事全体を表示
oconnellm ‎07-25-2016 10:29 PM
13,158件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Vulnerability Profile Actions https://live.paloaltonetworks.com/t5/Management-Articles/Vulnerability-Profile-Actions/ta-p/61708     この資料では、脆弱性防御プロファイルで利用できる様々なアクションについて説明します。アクションはセキュリティ プロファイルの各ルールや、特定の脅威IDの例外に対して指定することができます。   アクションの種類(訳注) アクション 対象 アクションの詳細 Default (デフォルト) 重大度に基づいた定義済みのアクション ルール 脅威ごとに選択された定義済みのアクションが適用されます。 Allow (許可) セッションは許可するが、脅威ログに記録しない           ルール       脅威ログに記録しないように、イベント用の例外を作成することができます。 Alert セッションを許可し、脅威ログに記録する ルール 重大度に関係なく、すべての脅威に対してログが有効になります。 Block (ブロック) セッションのすべてのパケットを破棄する ルール パケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。実質的に、セッションそのものが遮断されます。 reset-server RSTパケットをサーバーに送信する 例外 パケットは破棄され、TCPリセットがTCP コネクションのサーバー側に送信されます。 reset-both RSTパケットをクライアントとサーバーに送信する 例外 パケットは破棄され、TCPリセットがクライアントとサーバーの両方に送信されます。 reset-client RSTパケットをクライアントに送信する 例外 パケットは破棄され、TCPリセットがTCPコネクションのクライアント側に送られます。 drop-all-packets セッションのすべてのパケットを破棄する 例外 セッションに対してのすべてのパケットが破棄されます。 drop 特定のパケットを破棄する 例外 特定のパケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。 実質的に、セッションそのものが遮断されます。 block-ip 送信元IPアドレスからのすべてのパケットを破棄する 例外 ある送信元IPアドレスから送られてきた、特定の期間のすべてのセッションが遮断されます。   *「セッション」という言葉は、プロトコルがUDPの時のファイアウォール テーブルへの参照という意味で使用されています。   * 脅威ログに記録されるアクションは、プロトコルよっては脅威シグネチャ毎の既定のアクションの定義とは異なる場合があります。例えば"drop"がセキュリティ プロファイルに設定されている場合、TCPセッションでは" drop-all-packets" 、UDPセッションでは"drop"がアクション欄に記録されます。   訳注:括弧内はWeb UIで言語の表記を日本語にした際の表記です。   著者:jjosephs
記事全体を表示
hshirai ‎07-25-2016 08:46 PM
13,348件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install and Configure Terminal Server Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-and-Configure-Terminal-Server-Agent/ta-p/53839     概要 ターミナル サーバー (TS) エージェントをインストールする前に、以下の要件を満たしていることを確認します: インストールするターミナル サーバー (TS) エージェントのバージョンの Release Notes に記載されている要件を確認します。 ターミナル サーバーの管理者が、TS エージェントをインストールする必要があります。TSエージェントは、他のリモート ユーザーによって操作されないように、管理者によってのみ起動するように設定する必要があります。 TS エージェンのために、必要なドライバーをインストールします。インストールには管理者権限が必要です。 TS エージェントがインストールされるコンピューターでは、Windowsファイアウォールを無効にする必要があります。   手順 インストール インストールされるTS エージェントは、オペレーティング システムと互換性があるかどうかを最初に確認します。オペレーティング システムに互換性がない場合、下記のようなエラー メッセージが表示されます: TS エージェントのインストール フォルダを指定します。 新規インストールのために、管理者はシステムを再起動する必要はありません。ただし再起動しない場合は、TS エージェントはインストール後に新たに生成されるTCP/UDP のトラフィックだけを識別することができます。インストール前に生成された TCP/UDP トラフィックについては、Palo Alto Networks TS エージェントはユーザーを識別することができません。 ターミナル サーバー上の TS エージェントの設定 メイン パネル TS エージェント コントローラーは、TS エージェントの設定と状態を確認するためのアプリケーションです。 メイン パネルには、TS エージェントに接続している各 PAN デバイスを確認できる "Connection List" と "Device Access Control List" が表示されます。初期状態では、"Device Access Control List" は無効になっています。このオプションを有効にすることで、TS エージェントに接続を許可する PAN デバイスを指定することができます。TS エージェントは、許可リスト内のデバイスからの接続のみを許可します。 設定パネル Listening Port: TS エージェントが Palo Alto Networks のデバイスと通信するポート Source port allocation range: ユーザーが利用できる "source ports" の範囲 Reserved Source Ports: ターミナル サーバー上で実行されている他のサービスが通信するために、"source port" の範囲から除外する必要のあるポート Port Allocation Start Size Per User: 新しいユーザーに割り当てられる最小ポート Port allocation Maximum Size Per User: 新しいユーザーに割り当てられる最大ポート Fail port binding when available ports are used up: ポート割り当て重複の防止 モニター パネル ナビゲーション ウィンドウのモニターでは、すべての現在のユーザーとポート割り当てを表示しています。"Ports Count" は、このユーザーが現在使用しているポートの数を表しています。"Ports Count" は、"Refresh Ports Count" をクリックすることで更新することができます。また、"Refresh Interval" のチェックボックスを選択することで、更新間隔を設定することもできます。 Palo Alto Networks デバイス上の TS エージェントの設定 Palo Alto Networks デバイスには、以下の情報を設定する必要があります: ホスト: TS エージェントがインストールされているサーバーの IP アドレス ポート: TS サーバー上で設定した " Listening Port" のポート番号 IPリスト (任意): ターミナル サーバーが複数の送信元 IP アドレス (最大8個) を持っている場合の、ターミナル サーバーの送信元 IP リスト ファイアウォール上での変更を、コミットをクリックして反映させます。 トラブルシューティング時のヒント TS エージェントは、トラブルシューティングにとても役に立つログ ファイルを保持しています。TS エージェントに問題が起きた場合、ログ ファイルを収集し TAC サポート チームに送付します。ログ ファイルは、TS エージェントから、[ File ] > [ Show Logs ] と辿ることで見ることができます。 エージェントの詳細な情報を有効にするには、[ File ] > [ Debug ] 内で "Verbose" を選択します。この操作により、より詳細なメッセージがログに表示されます。   有益なCLIコマンド ターミナル サーバー エージェントを設定する: # set ts-agent <name> <options> where <options> include  ip-address   terminal server agent ip address port         terminal server agent listening port ip-list      terminal server alternative ip list   ターミナル サーバー エージェントの状態を表示する: > show user ts-agent statistics IP Address Port Vsys State Users ------------------------------------------------------------- 10.1.200.1  5009 vsys1 connected 8 10.16.3.249 5009 vsys1 connected 10   > show user ip-port-user-mapping all User IP-Address Vsys Port-Range ---------------------------------------------------------------------------- test1 10.1.200.1  vsys1 20000-20500 test2 10.1.200.1  vsys1 20500-21000                         21500-22000 test3 10.1.200.1  vsys1 21000-21500   TS エージェントは、特定のドメイン ユーザーのグループ情報を得るために、Palo Alto Networks User-ID エージェント、あるいはグループ マッピング データを調べる必要がある場合があります。   その他のCLIコマンド User-ID エージェントの "enable-user-identification" と "User Identification ACL" 設定コマンドは、TS エージェントに対しても適用されます。これは、User-ID の機能が有効である場合、User-ID エージェントと TS エージェントの機能が、どちらも有効になることを意味します。     著者:panagent
記事全体を表示
hshirai ‎07-24-2016 06:27 PM
3,639件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community