ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Firewall Showing as Disconnected on the Panorama https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panorama/ta-p/76666   現象 パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。     診断 ## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。 もしくは ## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。   解決方法 ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。 ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。 もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。 トラフィック ログを、 送信元を 管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。 もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。           セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。     注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで  TCP dump をとり 、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。    著者: Tarang
記事全体を表示
kkondo ‎04-05-2018 04:48 AM
3,264件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Palo Alto Networks Firewall not Forwarding Logs to Panorama (VM and M-100) https://live.paloaltonetworks.com/t5/Configuration-Articles/Palo-Alto-Networks-Firewall-not-Forwarding-Logs-to-Panorama-VM/ta-p/59799   事象 Palo Alto Networks M-100 デバイスまたは仮想アプライアンスとして導入されている Panorama が Palo Alto Networks ファイアウォールからログを受信しなくなる。トラフィック ログや脅威ログは、ファイアウォール上で直接確認すると見ることができるが、Panorama 上では見ることができない。   詳細 Palo Alto Networks ファイアウォールは Panorama に転送されたログをシーケンス番号を使用して記録します。ログが受信されると、Panorama はシーケンス番号を認識します。ファイアウォールが異なる Panorama (例えば、Panorama の HA ピア) に接続されると、これらのシーケンス番号は非同期となって、ファイアウォールがログを転送しなくなることがあります。ログのアップロード処理も、Panorama に送信された大量のログによってスタック (停滞) することがあります。   解決策   Panorama 5.0, 5.1, 6.0, 6.1, 7.0, 7.1 現在のログ状況を確認します > show logging-status device <シリアル番号> 最後に ACK されたログ ID からのログ転送をローカルディスクへのバッファリング有りで開始します > request log-fwd-ctrl device <シリアル番号> action start-from-lastack ログが転送されているかどうか確認します > show logging-status device <シリアル番号> ログが転送されていない場合、次のことを行います: ログ転送が停止していることを確認します > request log-fwd-ctrl device <シリアル番号> action stop バッファリング無しでログ転送を開始します (この状態で約 1 分間放置します) > request log-fwd-ctrl device <シリアル番号> action live ログ転送をバッファリング有りで開始します > request log-fwd-ctrl device <シリアル番号> action start   重要! シリアル番号内のアルファベット文字はすべて大文字である必要があります。例えば: > request log-fwd-ctrl device 0000C123456 action live scheduled a job with jobid 12   小文字が使用された場合は、次のエラーメッセージが返されます: > request log-fwd-ctrl device 0011c123456 action live Server error : failed to schedule a job to do log fwd ctrl from panorama to device 0000c123456   デバイスのポリシーにてログのアクションが Panorama への転送に設定されていることを確認します。 ロギングがスタックする場合は、log-receiver サービスを次のコマンドを使用して再起動します: > debug software restart log-receiver もしくは、次のコマンドを使用して Management Server を再起動します (log-receiver サービスも再起動されます): > debug software restart management-server   著者: swhyte
記事全体を表示
kishikawa ‎02-09-2017 07:27 PM
4,298件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 RADIUS Vendor-Specific Attributes (VSA) https://live.paloaltonetworks.com/t5/Configuration-Articles/RADIUS-Vendor-Specific-Attributes-VSA/ta-p/60273   概要 この文章ではRADIUSベンダー識別子(VSA: Vendor-Specific Attributes)をPalo Alto Networks次世代ファイアウォール、Panoramaサーバーに設定する方法について記述します。Palo Alto Networks ファイアウォール機器と、Panoramaサーバー設定は基本的に同じです。 注: Palo Alto Networksはベンダーコード25461を使用します。   属性には、以下の5つがあります。 PaloAlto-Admin-Role: 属性第1 – 初期のadmin role名かcustom admin role名のいずれかです。 PaloAlto-Admin-Access-Domain: 属性第2 - Palo Alto NetworksデバイスにてマルチVsysを有効にした場合に使用します。これはDevice > Access Domainsで設定されたアクセス ドメイン名です。 PaloAlto-Panorama-Admin-Role: 属性第3 – Panoramaの初期のadmin role名かcustom admin role名のいずれかです。 PaloAlto-Panorama-Admin-Access-Domain: 属性第4 - これはPanoramaのDevice > Access Domainsで設定されたアクセス ドメイン名です。 PaloAlto-User-Group: 属性第5 – 認証プロファイルで使用するグループ名です。   RADIUSサーバが準備されていない場合、作成を完了してください。グループ情報を取り出すのはベンダー識別子(VSA)特有機能で、通常のRADIUS設定では不必要です。 認証プロファイルの作成します。RADIUS認証でログインできるユーザーをグループ名でフィルターしたい場合、追加ユーザーのAllow Listウィンドウにグループ名を入力します。この例で使われているグループ名はtestgroupです。 注: Allow Listの追加はオプショナルです。 Panorama設定 PanoramaアクセスのAdmin Role設定します。これによりユーザー アクセスがどのような権限を持っているかPanoramaに知らせることができます。 Device > Admin RoleにアクセスしAdmin Roleを作成します。このロールは、ユーザーがログインした時に正しい権限を譲渡します。この設定例では、testroleを使っています。 "デバイス グループとテンプレート" のオプションは、アクセス ドメイン中の特定のデバイスに対するアクセス許可を与えるように、必ずチェックしてください。 アクセス ドメインの設定はPanoramaにユーザーがどのような権限を持っているか知らせます。 認証プロファイルをPalo Alto Networksデバイス、もしくはPanoramaに適用する場合、Palo Alto Networksデバイスの場合は、Device > Setup > Management > Authentication Profile、Panoramaの場合は Panorama > Setup > Management > Authentication Profileに移動します。   Windows 2003: Palo Alto Networksベンダー識別子を(VSA)をWindows 2003サーバーに設定する。 想定 : RADIUSクライアントとRemote Access Policyが既に設定されていること。 既存のRemote Access Profileを編集します。 Remote AccessプロファイルのEdit Profileボタンをクリックします。 Advancedを選択し、Addをクリックします。 Vendor-Specificまでスクロールし、Addをクリックします。 次のウィンドウで、Addをクリックし必要な属性を作ります。 ベンダー識別子(Vendor-Specific Attribute)情報ウィンドウでVendorコードを選択し、25461を右側フィールドに入力します。続いて、"Yes, It conforms," を選択し、 "Configure Attribute…"をクリックします。 次のウィンドウで、このドキュメントの冒頭に説明した、ベンダー識別子番号(Vendor-assigned attribute number)を入力します。識別子のフォーマットは "String" であるべきです。識別子の値は、設定次第になります。 以下が Palo Alto Networks デバイスに設定した、ロール (testrole) の例です。   以下が、Palo Alto Networks装置のVsys (vsys1)設定例です。   以下が、Panoramaサーバーに設定した、ロール(testrole)の例です。   以下が、Panoramaサーバーに設定したアクセス ドメイン(Domain1)の例です。   以下が、Palo Alto Networks装置、Panoramaサーバーに設定したグループ(testgroup)の例です。   以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。   Windows 2008ネットワーク ポリシー サーバー: Palo Alto Networksベンダー識別子(VSA)をWindows 2008サーバーに設定する。 想定: RADIUSクライアントとネットワーク ポリシーが既に設定されていること。 既存のNetwork Policiesを右クリックから編集を選択し、プロパティを選択します。 Settingsタブから、Vendor Specificを選び、Addボタンをクリックします。 Attributesボックスをスクロールダウンし、Vendor-Specificを選びます。 Addボタンをクリックします。 Vendor-Specific Attribute Informationウィンドウで、Enter Vendor Codeを選び、25461を右側フィールドに入力します(以下の図を参照)。次に"Yes, It conforms,"を選択し、"Configure Attribute…"をクリックします。 次のウィンドウで、この文章の冒頭部分で説明したようにベンダーが割当てた識別番号を入力します。識別フォーマットは "String" であるべきです。識別子の値は、設定次第です。以下の設定例では、Palo Alto Networks デバイス、Panoramaサーバーの識別子の設定が可能です。 以下が、Palo Alto Networksデバイスのロール (testrole)設定例です。   以下が、Palo Alto NetworksデバイスのVsys (vsys1)設定例です。   以下が、Panoramaサーバーのロール (testrole)設定例です。   以下が、Panoramaサーバーのアクセス ドメイン (Domain1)設定例です。   以下が、Palo Alto Networksデバイス、Panoramaサーバーのグループ(testgroup)設定例です。   以下が、カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPalo Alto Networksデバイスに設定した例です。これらはこの文章の冒頭部分で設定されています。   Cisco ACS 次にベンダー識別子(VSA)をCisco ACS 4.0 サーバーに設定します。 想定: RADIUSが設定され、Panoramaサーバー上で動作していること。   palalto.ini という名前のファイルをCisco ACS サーバーのUtilsフォルダーに作成します。   以下がiniファイルに記述するサンプル例です。 iniファイルを保存し、ACSサーバーのbinフォルダーにあるCSUtil.exeコマンドを起動して、それをACSサーバーに反映させます。 コマンド例: CSUtil.exe –addUDV 0 C:\Program Files\CiscoSecure ACS v4.0\Utils\paloalto.ini ACS サーバーにて、Interface設定ページを選び、"RADIUS (PaloAlto)"をクリックします。 使用したい識別子を選びます。以下のサンプル例ではすべてを選択しています。Submitをクリックします。 ACS Groupの識別子を編集します。testgroupというグループを作成します。 グループ設定で、以下の図のように、jump toで"RADIUS (PaloAlto)"が選択できます。 ご使用になられたいオプションを設定します。カスタムAdmin Role(testrole)とグループ(testgroup)を認証プロファイルでPanoramaサーバーに設定した例です。これらはこの文章の冒頭部分で設定されています。   参考 Configuring Cisco ACS 5.2 for use with Palo Alto Vendor Specific Attributes  (英文)   著者: rnit
記事全体を表示
kkondo ‎07-15-2016 07:25 AM
6,552件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SSL 3.0 MITM Attack (CVE-2014-3566) (PAN-SA-2014-0005) aka Poodle https://live.paloaltonetworks.com/t5/Threat-Articles/SSL-3-0-MITM-Attack-CVE-2014-3566-PAN-SA-2014-0005-aka-Poodle/ta-p/61856     詳細 本脆弱性の詳細につきましては、以下のセキュリティ アドバイザリを参照してください。 Palo Alto Networks Product Vulnerability - Security Advisories  (英文)   本文書ではセキュリティ アドバイザリに補足する形で詳細を記載します。Palo Alto Networks は本脆弱性に対応するために、製品毎に別の変更を施しています。本文書で記載しているように、この攻撃はそれぞれの機能毎にその影響範囲が限られています。 注: GlobalProtect ポータル、GlobalProtect ゲートウェイ、キャプティブ ポータルにおいて、Palo Alto Networks はSSLv3を無効化するように取り組みをしています。このプロセスは2つ以上のメンテナンス リリースを経るかもしれません。追加情報があれば、都度本文書を更新してまいります。   管理ウェブ GUI サーバー Palo Alto Networks は、デバイスの管理サービスを専用のVLANに制限するか、もしくは信頼できるネットワークとしてセグメントを分け、可能な限り信頼されないホストに晒されないようにすることを推奨します。仮にそれができない場合は、ウェブGUIはSSLv3リクエストに応答することになります。 注: PAN-OS 5.0.16、6.0.8、6.1.2以降のバージョンにおいて、デバイスの管理用コネクションにSSLv3は使用しないようになっています。   GlobalProtect ポータル GlobalProtect ポータル ページはブラウザでアクセスした場合、CVE-2014-3566の影響を受ける場合があります。攻撃が成功した際に取得される情報は認証クッキーのみです(ユーザ名、パスワードは窃取されません)。 ポータル ページにおける認証クッキーはGlobalProtectクライアントをダウンロードするためだけに使用され、GlobalProtectのログインやVPN接続には使用されません。   GlobalProtect ゲートウェイ GlobalProtect ゲートウェイは実際にSSLv3リクエストに対して応答をします。ただし、CVE-2014-3566が成功するためには、攻撃者が用意したJavascriptやウェブ ソケット コードと共にブラウザがハイジャックされ、かつクッキーを含んだリクエストが被害者のサーバーに向けて発行され1バイトずつ復号化される必要があります。GlobalProtect エージェントはブラウザではないので、このような攻撃に対して影響を受けません。   キャプティブ ポータル キャプティブ ポータルはSSLv3リクエストに対して応答をしますが、キャプティブ ポータルは内部的にユーザを認証するものであり、設定が正しく成されていれば外部からアクセスはされません。ただし、内部に感染したクライアントが存在すれば、それが攻撃の起点になる可能性があります。   Panorama Palo Alto NetworksファイアウォールとPanorama間でのコネクションではSSLv3をサポートしないため、本脆弱性の影響を受けません。   著者: gwesson
記事全体を表示
ymiyashita ‎07-11-2016 10:25 PM
2,640件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-and-Panorama/ta-p/58700   本ドキュメントでは、PAN-OS や Panoramaのアップグレード手順を紹介しています。メジャー/マイナーリリースは、新機能、複数の問題の修正を含みます。メンテナンスリリースは、複数の問題の修正を含みます。リリース番号の最初の数字がメジャーリリースの番号を示します。(例.6.0.0) リリース番号の最初の数字、2番目の数字がマイナーリリースの番号を示します。(6.1.0) リリース番号の最後の数字がメンテナンスリリースの番号を示します。(6.1.1)   リリースの種類 提供されるもの 判別方法 メジャー 機能 & 修正 6.0.0 マイナー 機能 & 修正 6.1.0 メンテナンス 修正 6.1.1   注意: アップグレードを行う前に必ずリリースノートを確認するようにしてください。   以下の内容について言及します。   要件 新しいPAN-OS メジャーリリースにアップグレードする手順 ダウングレードする手順 Panoramaをアップグレードする手順 PanoramaからDevicesをアップグレードする手順 HA Pairをアップグレードする手順 HA Pairをダウングレードする手順 Intermediate Operating Systemをインストールする必要性   The Palo Alto Networks firewallやPanoramaは、最新のPAN-OSを入手できるよう、有効なサポートサブスクリプションとともに登録されている必要があります。有効なサポートサブスクリプションと装置の登録は、Customer Support Portal で行えます。   要件 新しいPAN-OSのメジャーリリースにアップグレードするためには、firewallやPanoramaはアップグレード可能なPAN-OSを起動させている必要があります。 例えば、6.1.xにアップグレードしたい場合、事前に6.0.0を起動させておく必要があります。一般的には, 以前のリリースのどのバージョンからでも新しいリリースへのアップグレードが可能です。例えば、PAN-OS 6.0.5 から、PAN-OS 6.1へアップグレードする場合、より新しいPAN-OS 6.0.x をダウンロードする必要はありません。PAN-OS 5.0.x からPAN-OS 6.1に直接アップグレードすることはできません。ハードウェアがサポートされているもので、インターネットに接続されていれば、現状でサポートされているPAN-OSのバージョンは、Check Nowをクリックすれば自働的に検出されます。このCheck Nowは、Device > Software ページの左下にあります。   装置とPanoramaが、信頼性のある電源設備から、正常に電源供給されていることを確認してください。アップグレードの最中に電源障害が発生すると、装置が故障してしまう可能性があります。 既存設定のバックアップを取得します。Save named configuration snapshotをクリックすることで取得可能です。本機能は、GUIのDevice=>SetupもしくはPanorama=>SetupのOperationsにあります。 アップグレードを行うためにminimum content versionを考慮する必要があるか、リリースノートのUpgrade/Downgrade Procedures を確認します。 アップグレードを行うPAN-OSの最新版をダウンロードする前に、 そのPAN-OSのベースイメージをPanoramaもしくは装置上にダウンロードしておく必要があります。PAN-OSのベースイメージは、通常x.x.0といったバージョンです。アップグレードを行う装置上にインストールしておく必要はなく、ダウンロードしておくのみで結構です。 例えば、もし、Palo Alto Networks deviceをPAN-OS 5.0.8から6.1.3にアップグレードする場合、 6.0.0 ベースリリースをダウンロードのみします。(インストールしません) 6.0.13といった最新の6.0.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 6.1.0ベースリリースをダウンロードのみします。(インストールしません) 6.1.13といった最新の6.1.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 注意:インストールが完了したら、インストールした新しいOSを反映させるため、Palo Alto Networks deviceを再起動する必要があります。 Panoramaから装置をアップグレードする場合、Panoramaを最初にアップグレードします。手順は、Panoramaをアップグレードする手順のとおり実施してください。 PAN-OSのアップグレードを行う場合、 関連するソフトウェアのアップグレードを行う必要性が見込まれます。必要の有無は、リリースノート内のAssociated Software Versions項目を確認しご判断ください。 新しいPAN-OS メジャーリリースにアップグレードする手順 Device > Softwareの順にクリックします。 Check Nowをクリックします (左下)。Palo Alto Networksで利用可能なPAN-OSが表示されます。アップグレードするPAN-OSの変更内容を確認するために、Release Notesをクリックします。 PAN-OSのダウンロードとインストール Web UIから実施する場合: アップグレードするPAN-OSの隣にある、Downloadをクリックします。ダウンロードが完了すると、Downloadedのカラムにチェックマークがつきます。 アップグレードするPAN-OSの隣にある、Installをクリックします。インストールが開始されてます。 インストールの最中に、インストールが完了したら自働的に装置を再起動させる機能が利用可能になります。本機能が有効であった場合、インストールが完了した時点で装置は自動的に再起動します。 注意: 再起動はこの時点で実施する必要性はありません。ただし、インストールされたソフトウェアは再起動するまで有効となりません。 手動でダウンロード、インストールを実施する場合: ブラウザでサポートサイトを開きます。 Software Updates ページに行き、インストールしたいPAN-OSをダウンロードします。 Web UIで Device > Softwareの順にクリックし、Uploadをクリックします。ダウンロードしたPAN-OSを選択しOKボタンを押します。装置にPAN-OSがアップロードされます。 Install from Fileをクリックし、アップロードしたPAN-OSを選択します。 OKを押します。アップグレードが開始します。 注意: 古いリリースを削除する場合、Device > Softwareの順にクリックし、リリースの隣にあるXをクリックします。 ベースとなるPAN-OSリリースは削除しないでください。   ダウングレードする手順 装置をダウングレードする必要があった場合、こちらのKBを参照ください。How to Downgrade PAN-OS   Panoramaをアップグレードする手順 Panorama GUIから、Panorama タブをクリックし、次に Software タブをクリックします。注意: Panorama > Device Deployment > Softwareの順ではありません。 Check Nowをクリックします (左下)。Panoramaで利用可能なPAN-OSが表示されます。 アップグレードするPAN-OSをPanoramaにダウンロードするため、Downloadをクリックします。(VMware ESXを使用している場合、対応しているイメージを選択してください。) ダウンロードが完了した後、Installリンクをクリックし、アップグレードを実施します。要求されたら、リブートします。 PanoramaからDevicesをアップグレードする手順 Panorama タブをクリックします。Device Deployment > Softwareの順にクリックし、Check Nowをクリックします。Palo Alto Networksで利用可能なPAN-OSが表示されます。 Downloadをクリックし、アップグレードする装置の種類に応じたソフトウェアをダウンロードします。プラットフォームリストが表示されます。上記で説明した同じルールが 適用されます。 正しいイメージをダウンロードした後、Installをクリックします。 次にソフトウェアをインストールしたい装置を選択します。画面下部にある、Upload only to device (do not install)とReboot device after installに注意してください。  3.Panorama > Managed Devicesの順にクリックし、画面下部にあるInstallをクリックすることでも、ソフトウェアをインストールすることが可能です。       'install'をクリックすることで、上記の手順での同じインストール画面が表示されます。     HA Pairをアップグレードする手順 HA Pairをアップグレードする手順については、こちらのKBを参照ください。How to Upgrade a High Availability (HA) Pair   HA Pairをダウングレードする手順 2つ目の装置をアップグレードする前にフォールバックさせるには、以下の手順を実施します。 アップグレードした装置をSuspendします。パッシブ装置がアクティブになります。サスペンドされた装置がダウングレードできるようになります。ダウングレードの手順については、こちらのKBを参照ください。 How to Downgrade PAN-OS ダウングレードが完了した後、GUIで装置をアクティブにし、設定が正しくロードされていることを確認します。   Intermediate operating systemをインストールする必要性 アップグレードパスに応じて、ターゲットとするPAN-OSにアップグレードするために、intermediate operating systemをインストールする必要があります。たとえば6.0から7.0にアップグレードする場合、まず最初に、6.1をIntermediate Operating Systemとしてインストールする必要があります。   アップグレード中の問題を防ぐために、最新のメンテナンスリリースバージョンを、Intermediate Operating Systemとしてインストールすることを推奨します。例えば、6.0.5から7.0.6にアップグレードする場合、6.0.5から6.1.13、6.1.13から7.0.6といった流れで実施します。   参考情報: How to Downgrade PAN-OS How to Upgrade a High Availability (HA) Pair How to Downgrade PAN-OS   著者: jdelio  
記事全体を表示
kkawachi ‎07-11-2016 10:23 PM
29,139件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Viewing the Log Collector system log in the Panorama appliance (PAN-OS 6.0.x or later) https://live.paloaltonetworks.com/t5/Management-Articles/Viewing-the-Log-Collector-system-log-in-the-Panorama-appliance/ta-p/78493     問題 Panorama アプライアンスとログ コレクタをPAN-OSを6.0.x以降にアップグレードすると、Panoramaに送られているはずのログ コレクタのシステム ログを確認することができません。    "request log-fwd-ctrl action start-from-lastack device"コマンドを実行しても本事象は解決しません。 この問題は、ローカル ログ コレクタの設定がPAN-OSのアップグレード前に削除されていた場合に発生します。     原因 PAN-OS 6.0.x以降にアップグレードする際、M-100(Panorama)はsdb変数がないことにより初期化に失敗します。 この変数はコレクタ グループ コミットにより、コレクタ グループに設定をプッシュする際にセットされます。 しかし、ローカル ログ コレクタを含むログ コレクタ グループが存在しないと、コレクタ グループ コミットを行うことができません。この問題はPAN-OS5.1から6.0でのデザイン変更によって生じています。 解決策 Panorama自身をローカル ログ コレクタとして設定し、そのログ コレクタを含むコレクタ グループを作成します。 Panoramaにてコミットを行うと設定がコレクタ グループにプッシュされます。 それからコレクタ グループとローカル ログ コレクタを削除して コミットします。 sdb変数は一旦セットされれば、その後にローカル ログ コレクタを削除しても、恒久的に維持されます。     復旧手順 Panorama自身を管理対象コレクタ(ローカル ログ コレクタ)として登録   M-100 PanoramaのGUIにログインし、[Panorama]タブ > [管理対象コレクタ]メニューを選択 [追加]をクリックし、[コレクタ]ダイアログの[コレクタシリアル番号]の欄に、Primary Panoramaのシリアル番号を入力し、[OK]をクリック →登録したPrimary Panoramaのシリアル番号が画面に表示されることを確認 [追加]をクリックし、[コレクタ]ダイアログの[コレクタシリアル番号]の欄に、Secondary Panorama のシリアル番号を入力し、[OK]をクリック →登録したSecondary Panoramaのシリアル番号が画面に表示されることを確認 [コミット]をクリックし、[コミット]ダイアログのコミットタイプ「Panorama」ラジオボタンを選択し、[OK]をクリック →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認 手順1で追加したコレクタのコレクタ名をクリックし、[コレクタ]ダイアログにて[Disks]タブをクリック ダイアログ下部の[追加]をクリックし、[ディスク ペアの有効化]欄にディスクペアを追加します。A,B,C,D全てを登録し、[OK]をクリック 手順3で追加したコレクタの コレクタ名 をクリックし 、[コレクタ]ダイアログにて[Disks]タブをクリック ダイアログ下部の[追加]をクリックし、[ディスク ペアの有効化]欄にディスクペアを追加します。A,B,C,D全てを登録し、[OK]をクリック [コミット]をクリックし、[コミット]ダイアログのコミットタイプ「Panorama」ラジオボタンを選択し、[OK]をクリック →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認します。   登録されたM-100 Panorama (ローカル ログ コレクタ)をコレクタ グループに追加   [Panorama]タブ > [コレクタ グループ]メニューをクリック [追加]をクリックし、[コレクタ グループ]ダイアログの[全般]タブにて[名前]欄に任意の名前(例:Panorama_LLC_1)を入力 [ログ転送]タブを選択し、[コレクタ グループのメンバー]欄下部[追加]を選択し、Primary PanoramaとSecondary のPanorama(例:Panorama_LLC_1)を選択して、 [コレクタ グループのメンバー]欄に 追加。[OK]をクリック [コミット] をクリックし、[コミット]ダイアログの コミットタイプ「Panorama」 ラジオボタンを選択し、 [OK] をクリック →結果:OK、詳細:「Configuration committed successfully」と表示されることを確認します。 再度[コミット]をクリックし、[コミット]ダイアログのコミットタイプ「コレクタ グループ」ラジオボタンを選択 全コレクタ グループ名横のチェックボックスにチェックを入れて[OK]をクリック →最終コミット状態:「commit succeeded」と表示されることを確認   ログ転送の復旧確認 [Monitor] > [ログ] > [システム]を選択 →[デバイスのシリアル番号]欄に登録済みログコレクタのシリアル番号が表示されていることを確認します Primary PanoramaにCLIでログインし、 "> show logging-status S/N of the Log Collector >"コマンドを実行します。 →以下の出力例のように、ログを受信した日付が更新されることを確認   > show logging-status device [S/N of the Log Collector] Type Last Log Rcvd Last Seq Num Rcvd Last Log Generated config N/A N/A N/A system 2016/05/13 17:32:00 2301 2016/05/13 17:32:00 threat N/A N/A N/A traffic 2016/05/13 17:53:25 2301 2016/05/13 17:52:13 hipmatch N/A N/A N/A  
記事全体を表示
TShimizu ‎07-07-2016 02:14 AM
3,045件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community