【Paloalto】よく使用するCLIコマンド PANOS 10.0.7

Paloalto

Paloaltoは、基本的に、GUIで設定・バックアップや状態確認ができますが、確認結果をログに残したり、大量処理を実施したい場合は、CLIの方が非常に便利な場合があります。

この記事では、Paloaltoを使用する上で、よく使用しているCLIコマンドを記事にします。

スポンサーリンク
  1. 基本操作
    1. オペレーショナルモード
    2. コンフィグレーションモード(configure)
    3. 設定反映(commit)
    4. ページング無効化(set cli pager off)
    5. 出力結果を条件によりフィルタ(match、except)
  2. 設定情報取得
    1. 設定情報取得(show)
    2. 表示形式変更(set cli config-output-format)
    3. アドレス設定情報(show address)
    4. アドレスグループ設定情報(show address-group)
    5. サービス設定情報(show service)
    6. サービスグループ設定情報(show service-group)
    7. ゾーン設定情報(show zone)
    8. インタフェース設定情報(show network interface)
    9. ルーティング設定確認(show network virtual-router)
    10. セキュリティポリシー設定情報(show rulebase security rules)
  3. 機器情報(show system info)
  4. パフォーマンス情報
    1. CPU・メモリ使用状況(show system resources)
    2. 現在のスループット・セッション情報(show system statistics session)
    3. 現在までのアプリケーション統計トップ20(show system statistics application)
  5. ネットワーク情報
    1. インタフェース情報(show interface all)
    2. インタフェース統計情報(show counter interface all)
    3. ARPテーブル(show arp all)
    4. ルーティングテーブル(show routing route)
  6. ネットワーク診断(ping / traceroute)
  7. セッション情報
    1. セッションテーブル(show session all)
    2. 現在のセッション数(show session info)
  8. ポリシーテスト(test security-policy-match)
  9. ログ情報
    1. システムログ(show log system)
    2. トラフィックログ(show log traffic)
  10. 再起動・停止
    1. 再起動(request restart system)
    2. 停止(request shutdown system)

基本操作

オペレーショナルモード

ログイン直後は、オペレーショナルモードで動作し、プロンプトが > と表示されます。

admin@PA-VM> 

オペレーショナルモードを抜け、ログアウトするには、exitを入力します。

admin@PA-VM> exit

コンフィグレーションモード(configure)

設定変更する際は、コンフィグレーションモードへ移行する必要があります。コンフィグレーションモードへ移行するには、configureを入力することで、[edit]が表示され、プロンプトが # に変更されます。

admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# 

コンフィグレーションモードを抜けるには、exit を入力します。

admin@PA-VM# exit
Exiting configuration mode
admin@PA-VM>

設定反映(commit)

編集中のCandidate Config を 稼働中のRunning Configに反映するには、コンフィグレーションモードで、commitを入力します。

admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# commit

Commit job 7 is in progress. Use Ctrl+C to return to command prompt
.........55%98%...........100%
Configuration committed successfully

[edit]
admin@PA-VM#

Candidate Config Running Configについては下記の記事を参考にしてください。

  >> 参考記事 :  【Paloalto】設定情報のコミットとバックアップ/リストア PANOS9.0.9-h1.xfr

ページング無効化(set cli pager off)

デフォルトでは、CLIの出力結果が長い場合に、「– More –」が表示され、エンターキーにより残りの結果をスクロールしながら表示します。「– More –」のページングをさせずに表示するには、オペレーショナルモードset cli pager コマンドによりページングをoffにします。

admin@PA-VM> set cli pager off 
admin@PA-VM> configure  
Entering configuration mode
[edit]                                                        
admin@PA-VM# show 
set deviceconfig system type dhcp-client send-hostname yes
set deviceconfig system type dhcp-client send-client-id no
set deviceconfig system type dhcp-client accept-dhcp-hostname no
・
・
・

出力結果を条件によりフィルタ(match、except)

出力結果に対し、条件に一致した行のみを抽出します。例えば、下記の出力結果に対して、フィルタします。

admin@PA-VM# show address
set address Server1 ip-netmask 10.0.200.51/32
set address Server2 ip-netmask 10.0.200.52/32
set address Server3 ip-netmask 10.0.200.53/32
set address Server4 ip-netmask 10.0.200.54/32
set address Server5 ip-netmask 10.0.200.55/32

出力結果に対し、matchで条件を追加することで、条件に一致した行を抽出します。Server1が含まれる行のみ抽出します。

admin@PA-VM# show address | match Server1
set address Server1 ip-netmask 10.0.200.51/32

逆に、Server1を含まない行のみ抽出する場合、exceptを使用します。

admin@PA-VM# show address | except Server1
set address Server2 ip-netmask 10.0.200.52/32
set address Server3 ip-netmask 10.0.200.53/32
set address Server4 ip-netmask 10.0.200.54/32
set address Server5 ip-netmask 10.0.200.55/32
スポンサーリンク

設定情報取得

設定情報取得(show)

稼働中の設定情報を取得するには、コンフィグレーションモードにて、showを入力します。

admin@PA-VM> configure 
Entering configuration mode
[edit]                                                        
admin@PA-VM# show
deviceconfig {
  system {
    type {
      dhcp-client {
        send-hostname yes;
        send-client-id no;
        accept-dhcp-hostname no;
        accept-dhcp-domain no;
      }
    }
・
・
・

デフォルトでは、XML形式で設定情報が取得されます。

表示形式変更(set cli config-output-format)

設定情報は、XML形式よりset形式での出力した方が、設定コマンドがそのままで表示されるため、都合の良い場合があります。

オペレーショナルモードで、set cli config-output-format により出力形式を変更します。出力形式は、下記のとおりヘルプ(?を入力)することで確認できます。

admin@PA-VM> set cli config-output-format 
  default   default 
  json      json 
  set       set 
  xml       xml 

出力形式をsetに変更し、設定情報を取得します。

admin@PA-VM> set cli config-output-format set
admin@PA-VM> configure 
Entering configuration mode
[edit]                                                        
admin@PA-VM# show
set deviceconfig system type dhcp-client send-hostname yes
set deviceconfig system type dhcp-client send-client-id no
set deviceconfig system type dhcp-client accept-dhcp-hostname no
・
・
・

アドレス設定情報(show address)

設定されているアドレス情報は、コンフィグレーションモードshow address にて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show address
set address Server1 ip-netmask 10.0.200.51/32
set address Server2 ip-netmask 10.0.200.52/32
set address Server3 ip-netmask 10.0.200.53/32
set address Server4 ip-netmask 10.0.200.54/32
set address Server5 ip-netmask 10.0.200.55/32

アドレスグループ設定情報(show address-group)

設定されているアドレスグループ情報は、コンフィグレーションモードshow address-group にて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show address-group 
set address-group Server-Group static [ Server1 Server2 Server3 Server4 Server5 ]

サービス設定情報(show service)

設定されているカスタムサービス情報は、コンフィグレーションモードshow serviceにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show service
set service service-tcp-11111 protocol tcp port 11111
set service service-tcp-11111 protocol tcp override no 
set service service-tcp-22222 protocol tcp port 22222
set service service-tcp-22222 protocol tcp override no 

サービスグループ設定情報(show service-group)

設定されているサービスグループ情報は、コンフィグレーションモードshow service-groupにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show service-group 
set service-group service-group-custom members [ service-tcp-11111 service-tcp-22222 ]

ゾーン設定情報(show zone)

設定されているセキュリティゾーン情報は、コンフィグレーションモードshow zoneにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show zone
set zone Trust network layer3 ethernet1/1
set zone Untrust network layer3 ethernet1/2

インタフェース設定情報(show network interface)

設定されているインタフェース情報は、コンフィグレーションモードshow network interfaceにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show network interface 
set network interface ethernet ethernet1/1 layer3 ndp-proxy enabled no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat enable no
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat static-ip 
set network interface ethernet ethernet1/1 layer3 sdwan-link-settings enable no
set network interface ethernet ethernet1/1 layer3 lldp enable no
set network interface ethernet ethernet1/1 layer3 ip 10.0.200.84/24
・
・
・

ルーティング設定確認(show network virtual-router)

設定されているルーティング関連情報は、コンフィグレーションモードshow network virtual-routerにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show network virtual-router 
set network virtual-router default interface [ ethernet1/1 ethernet1/2 ]
set network virtual-router default ecmp algorithm ip-modulo 
set network virtual-router default routing-table ip static-route static-1 nexthop ip-address 10.0.100.1
set network virtual-router default routing-table ip static-route static-1 bfd profile None
set network virtual-router default routing-table ip static-route static-1 interface ethernet1/1
set network virtual-router default routing-table ip static-route static-1 metric 10
set network virtual-router default routing-table ip static-route static-1 destination 1.1.1.1/32
set network virtual-router default routing-table ip static-route static-1 route-table unicast 

セキュリティポリシー設定情報(show rulebase security rules)

設定されているセキュリティポリシー情報は、コンフィグレーションモードshow rulebase security rulesにて確認できます。(下記は出力形式をsetにした場合のサンプル)

admin@PA-VM# show rulebase security rules 
set rulebase security rules Src-NAT to Untrust
set rulebase security rules Src-NAT from Trust
set rulebase security rules Src-NAT source 10.0.200.100/32
set rulebase security rules Src-NAT destination any
set rulebase security rules Src-NAT source-user any
set rulebase security rules Src-NAT category any
set rulebase security rules Src-NAT application any
set rulebase security rules Src-NAT service any
set rulebase security rules Src-NAT source-hip any
set rulebase security rules Src-NAT destination-hip any
set rulebase security rules Src-NAT action allow
・
・
・
スポンサーリンク

機器情報(show system info)

バージョンやシリアル番号などを確認するには、オペレーショナルモードshow system infoを入力します。

admin@PA-VM> show system info
hostname: PA-VM
ip-address: 10.0.11.173
public-ip-address: unknown
netmask: 255.255.255.0
default-gateway: 10.0.11.1
ip-assignment: dhcp
ipv6-address: unknown
ipv6-link-local-address: fe80::8xx:xxff:fexx:xxxx/64
ipv6-default-gateway:
mac-address: xx:xx:xx:xx:xx:xx
time: Sat Sep 18 00:21:32 2021
uptime: 0 days, 1:01:05
family: vm
model: PA-VM
serial: XXXXXXXXXXXXXXX
・
・
・

パフォーマンス情報

CPU・メモリ使用状況(show system resources)

マネージメントプレーンのCPUやメモリの使用状況は show system resourcesで確認できます。出力内容の味方は下記の記事を参考にしてください。

  >> 参考記事 :  ナレッジドキュメント show system resourcesコマンドの解釈

現在のスループット・セッション情報(show system statistics session)

リアルタイムで、稼働中のスループットやセッション数を確認したい場合、オペレーショナルモードshow system statistics sessionを入力します。

admin@PA-VM> show system statistics session 

入力すると、下記のような画面に切り替わり、表示がリアルタイムに自動更新されます。

q を入力すると、画面が元の状態に戻ります。

現在までのアプリケーション統計トップ20(show system statistics application)

リアルタイムで、現在までのアプリケーションデータ量を確認したい場合、オペレーショナルモードshow system statistics applicationを入力します。

admin@PA-VM> show system statistics application 

入力すると、下記のような画面に切り替わり、表示がリアルタイムに自動更新されます。

q を入力すると、画面が元の状態に戻ります。

ネットワーク情報

インタフェース情報(show interface all)

すべてのインタフェース情報(IPアドレス、MACアドレス、Duplexなど)を確認する場合は、オペレーショナルモードshow interface allを入力します。

admin@PA-VM> show interface all 
total configured hardware interfaces: 2
name                    id    speed/duplex/state            mac address       
--------------------------------------------------------------------------------
ethernet1/1             16    10000/full/up                 0a:9a:2e:XX:XX:XX
ethernet1/2             17    10000/full/up                 0a:ff:db:XX:XX:XX
aggregation groups: 0

total configured logical interfaces: 2
name                id    vsys zone             forwarding               tag    address                                         
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1         16    1    Trust            vr:default               0      10.0.200.84/24    
ethernet1/2         17    1    Untrust          vr:default               0      10.0.100.59/24    

インタフェース統計情報(show counter interface all)

すべてのインタフェースの統計情報(送受信バイト数、エラーなど)を確認する場合は、オペレーショナルモードshow interface allを入力します。

admin@PA-VM> show counter interface all 
Hardware interface counters:
--------------------------------------------------------------------------------
Interface: ethernet1/1
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Physical port counters read from MAC:
--------------------------------------------------------------------------------
rx-broadcast                  0
rx-bytes                      8413446
rx-multicast                  23
rx-unicast                    35368
tx-broadcast                  0
tx-bytes                      29630730
tx-multicast                  0
tx-unicast                    50491                
--------------------------------------------------------------------------------
・
・
・

ARPテーブル(show arp all)

ARPテーブルを確認する場合は、オペレーショナルモードshow arp allを入力します。

admin@PA-VM> show arp all

maximum of entries supported :      2500
default timeout:                    1800 seconds
total ARP entries in table :        3
total ARP entries shown :           3
status: s - static, c - complete, e - expiring, i - incomplete

interface         ip address      hw address        port              status   ttl
--------------------------------------------------------------------------------
ethernet1/1       10.0.200.1      0a:ca:b3:bb:xx:xx ethernet1/1         c      1763
ethernet1/1       10.0.200.100    0a:5a:b5:68:xx:xx ethernet1/1         c      1410
ethernet1/2       10.0.100.1      0a:ef:22:46:xx:xx ethernet1/2         c      1763

ルーティングテーブル(show routing route)

ルーティングテーブルを確認する場合は、オペレーショナルモードshow routing routeを入力します。

admin@PA-VM> show routing route 
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp, 
       Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast  
VIRTUAL ROUTER: default (id 1)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   10.0.100.1                              10     A S              ethernet1/2                   
1.1.1.1/32                                  10.0.100.1                              10     A S              ethernet1/1                   
10.0.100.0/24                               10.0.100.59                             0      A C              ethernet1/2                   
10.0.100.59/32                              0.0.0.0                                 0      A H                                            
10.0.200.0/24                               10.0.200.84                             0      A C              ethernet1/1                   
10.0.200.84/32                              0.0.0.0                                 0      A H                                            
total routes shown: 6

ネットワーク診断(ping / traceroute)

pingを実行するには、ping hostコマンドを使用します。デフォルトでは、マネージメントポートから送信されます。

admin@PA-VM> ping host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=105 time=2.61 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=105 time=2.63 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=105 time=2.61 ms

送信元IPアドレスを指定するには、host指定の前にsourceとしてIPアドレスを指定します。

admin@PA-VM> ping source 10.0.100.59 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 10.0.100.59 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=104 time=3.81 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=104 time=3.19 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=104 time=2.99 ms

トレースルートもPingと同様のコマンドです。下記は送信元アドレスを指定してトレースルートする実行例です。

admin@PA-VM> traceroute source 10.0.100.59 host 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  54.150.128.33  7.431 ms  7.426 ms  7.425 ms
 2  * * *
 3  * * *
・
・
・

セッション情報

セッションテーブル(show session all)

現在のセッションテーブルを確認する場合、オペレーショナルモードshow session allを入力します。

admin@PA-VM> show session all 

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
-------------------------------------------------------------------------------
60           ssl            ACTIVE  FLOW  NS   10.0.200.100[49730]/Trust/6  (10.0.100.200[49730])
vsys1                                          20.205.248.73[443]/Untrust  (20.205.248.73[443])
61           ssl            ACTIVE  FLOW  NS   10.0.200.100[49731]/Trust/6  (10.0.100.200[49731])
vsys1                                          20.205.248.73[443]/Untrust  (20.205.248.73[443])
.
.
.

セッションテーブルのうち、条件による出力フィルタもできます。例えば、宛先が8.8.8.8のみのテーブルのみ抽出したい場合は、下記の通りとなります。

admin@PA-VM> show session all filter destination 8.8.8.8

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
25           ping           ACTIVE  FLOW  NS   10.0.200.100[1]/Trust/1  (10.0.100.200[1])
vsys1                                          8.8.8.8[1181]/Untrust  (8.8.8.8[1181])

現在のセッション数(show session info)

サポートされている最大セッション数と現在のセッション数を確認するには、show session infoを入力します。

admin@PA-VM> show session info 

        target-dp:                                       *.dp0
        --------------------------------------------------------------------------------
        Number of sessions supported:                    256000
        Number of allocated sessions:                    13
        Number of active TCP sessions:                   13
        Number of active UDP sessions:                   0
        Number of active ICMP sessions:                  0
・
・
・

ポリシーテスト(test security-policy-match)

実際の通信パターンを指定することで、どのセキュリティポリシーが適用されるのか、test security-policy-matchにて確認することができます。

例えば、下記条件で、どのポリシーが適用されるのかを確認する出力例です。

  • 送信元ゾーン:Trust
  • 宛先ゾーン:Untrust
  • 送信元IPアドレス:10.0.200.100
  • 宛先IPアドレス:8.8.8.8
  • プロトコル:TCP(プロトコル番号:6)
  • 宛先ポート:80
admin@PA-VM> test security-policy-match 
from Trust to Untrust source 10.0.200.100 destination 8.8.8.8 
protocol 6 destination-port 80

"Src-NAT; index: 1" {
        from Trust;
        source 10.0.200.100;
        source-region none;
        to Untrust;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destinataion-device any;
        category any;
        application/service 0:any/any/any/any;
        action allow;
        icmp-unreachable: no
        terminal yes;
}

ログ情報

システムログはshow log system 、トラフィックログはshow log traffic で取得します。

システムログ(show log system)

admin@PA-VM> show log system
Time                Severity Subtype Object EventID ID Description
=====================================================
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/1: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/2: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/3: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/4: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/5: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/6: Down auto duplex
2021/09/16 04:53:08 info     port    ethern link-ch 0  Port ethernet1/7: Down auto duplex
2021/09/16 04:53:08 high     general        system- 1  The system is starting up.

トラフィックログ(show log traffic)

admin@PA-VM> show log traffic
Time                App             From                            Src Port          Source
Rule                Action          To                              Dst Port          Destination
Src User        Dst User                        End Reason
Rule_UUid
================================================================
2021/09/16 05:30:11 ping            Untrust                         0                 126.xxx.xxxx.xxx
Dest-NAT            allow           Trust                           0                 10.0.100.200
                                                aged-out
ff158ca8-3f3e-4646-ab9f-8dbb2aa8bcc8
2021/09/16 05:30:17 ping            Untrust                         0                 126.xxx.xxxx.xxx
Dest-NAT            allow           Trust                           0                 10.0.100.200
                                                aged-out
ff158ca8-3f3e-4646-ab9f-8dbb2aa8bcc8
2021/09/16 05:30:23 ping            Untrust                         0                 126.xxx.xxxx.xxx
Dest-NAT            allow           Trust                           0                 10.0.100.200
                                       aged-out

再起動・停止

再起動する場合は、request restart system、停止する場合は、request shutdown systemを入力します。

再起動(request restart system)

admin@PA-VM> request restart system
Executing this command will disconnect the current session. 
Do you want to continue? (y or n) y

停止(request shutdown system)

admin@PA-VM> request shutdown system
Warning: executing this command will leave the system in a shutdown state. 
Power must be removed and reapplied for the system to restart.  
Do you want to continue? (y or n)y

コメント

タイトルとURLをコピーしました