Paloaltoは、基本的に、GUIで設定・バックアップや状態確認ができますが、確認結果をログに残したり、大量処理を実施したい場合は、CLIの方が非常に便利な場合があります。
この記事では、Paloaltoを使用する上で、よく使用しているCLIコマンドを記事にします。
基本操作
オペレーショナルモード
ログイン直後は、オペレーショナルモードで動作し、プロンプトが > と表示されます。
admin@PA-VM>
オペレーショナルモードを抜け、ログアウトするには、exitを入力します。
admin@PA-VM> exit
コンフィグレーションモード(configure)
設定変更する際は、コンフィグレーションモードへ移行する必要があります。コンフィグレーションモードへ移行するには、configureを入力することで、[edit]が表示され、プロンプトが # に変更されます。
admin@PA-VM> configure Entering configuration mode [edit] admin@PA-VM#
コンフィグレーションモードを抜けるには、exit を入力します。
admin@PA-VM# exit Exiting configuration mode admin@PA-VM>
設定反映(commit)
編集中のCandidate Config を 稼働中のRunning Configに反映するには、コンフィグレーションモードで、commitを入力します。
admin@PA-VM> configure Entering configuration mode [edit] admin@PA-VM# commit Commit job 7 is in progress. Use Ctrl+C to return to command prompt .........55%98%...........100% Configuration committed successfully [edit] admin@PA-VM#
Candidate Config と Running Configについては下記の記事を参考にしてください。
>> 参考記事 : 【Paloalto】設定情報のコミットとバックアップ/リストア PANOS9.0.9-h1.xfr
ページング無効化(set cli pager off)
デフォルトでは、CLIの出力結果が長い場合に、「– More –」が表示され、エンターキーにより残りの結果をスクロールしながら表示します。「– More –」のページングをさせずに表示するには、オペレーショナルモードでset cli pager コマンドによりページングをoffにします。
admin@PA-VM> set cli pager off admin@PA-VM> configure Entering configuration mode [edit] admin@PA-VM# show set deviceconfig system type dhcp-client send-hostname yes set deviceconfig system type dhcp-client send-client-id no set deviceconfig system type dhcp-client accept-dhcp-hostname no ・ ・ ・
出力結果を条件によりフィルタ(match、except)
出力結果に対し、条件に一致した行のみを抽出します。例えば、下記の出力結果に対して、フィルタします。
admin@PA-VM# show address set address Server1 ip-netmask 10.0.200.51/32 set address Server2 ip-netmask 10.0.200.52/32 set address Server3 ip-netmask 10.0.200.53/32 set address Server4 ip-netmask 10.0.200.54/32 set address Server5 ip-netmask 10.0.200.55/32
出力結果に対し、matchで条件を追加することで、条件に一致した行を抽出します。Server1が含まれる行のみ抽出します。
admin@PA-VM# show address | match Server1 set address Server1 ip-netmask 10.0.200.51/32
逆に、Server1を含まない行のみ抽出する場合、exceptを使用します。
admin@PA-VM# show address | except Server1 set address Server2 ip-netmask 10.0.200.52/32 set address Server3 ip-netmask 10.0.200.53/32 set address Server4 ip-netmask 10.0.200.54/32 set address Server5 ip-netmask 10.0.200.55/32
設定情報取得
設定情報取得(show)
稼働中の設定情報を取得するには、コンフィグレーションモードにて、showを入力します。
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# show
deviceconfig {
system {
type {
dhcp-client {
send-hostname yes;
send-client-id no;
accept-dhcp-hostname no;
accept-dhcp-domain no;
}
}
・
・
・
デフォルトでは、XML形式で設定情報が取得されます。
表示形式変更(set cli config-output-format)
設定情報は、XML形式よりset形式での出力した方が、設定コマンドがそのままで表示されるため、都合の良い場合があります。
オペレーショナルモードで、set cli config-output-format により出力形式を変更します。出力形式は、下記のとおりヘルプ(?を入力)することで確認できます。
admin@PA-VM> set cli config-output-format
default default
json json
set set
xml xml
出力形式をsetに変更し、設定情報を取得します。
admin@PA-VM> set cli config-output-format set admin@PA-VM> configure Entering configuration mode [edit] admin@PA-VM# show set deviceconfig system type dhcp-client send-hostname yes set deviceconfig system type dhcp-client send-client-id no set deviceconfig system type dhcp-client accept-dhcp-hostname no ・ ・ ・
アドレス設定情報(show address)
設定されているアドレス情報は、コンフィグレーションモードでshow address にて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show address set address Server1 ip-netmask 10.0.200.51/32 set address Server2 ip-netmask 10.0.200.52/32 set address Server3 ip-netmask 10.0.200.53/32 set address Server4 ip-netmask 10.0.200.54/32 set address Server5 ip-netmask 10.0.200.55/32
アドレスグループ設定情報(show address-group)
設定されているアドレスグループ情報は、コンフィグレーションモードでshow address-group にて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show address-group set address-group Server-Group static [ Server1 Server2 Server3 Server4 Server5 ]
サービス設定情報(show service)
設定されているカスタムサービス情報は、コンフィグレーションモードでshow serviceにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show service set service service-tcp-11111 protocol tcp port 11111 set service service-tcp-11111 protocol tcp override no set service service-tcp-22222 protocol tcp port 22222 set service service-tcp-22222 protocol tcp override no
サービスグループ設定情報(show service-group)
設定されているサービスグループ情報は、コンフィグレーションモードでshow service-groupにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show service-group set service-group service-group-custom members [ service-tcp-11111 service-tcp-22222 ]
ゾーン設定情報(show zone)
設定されているセキュリティゾーン情報は、コンフィグレーションモードでshow zoneにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show zone set zone Trust network layer3 ethernet1/1 set zone Untrust network layer3 ethernet1/2
インタフェース設定情報(show network interface)
設定されているインタフェース情報は、コンフィグレーションモードでshow network interfaceにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show network interface set network interface ethernet ethernet1/1 layer3 ndp-proxy enabled no set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat enable no set network interface ethernet ethernet1/1 layer3 sdwan-link-settings upstream-nat static-ip set network interface ethernet ethernet1/1 layer3 sdwan-link-settings enable no set network interface ethernet ethernet1/1 layer3 lldp enable no set network interface ethernet ethernet1/1 layer3 ip 10.0.200.84/24 ・ ・ ・
ルーティング設定確認(show network virtual-router)
設定されているルーティング関連情報は、コンフィグレーションモードでshow network virtual-routerにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show network virtual-router set network virtual-router default interface [ ethernet1/1 ethernet1/2 ] set network virtual-router default ecmp algorithm ip-modulo set network virtual-router default routing-table ip static-route static-1 nexthop ip-address 10.0.100.1 set network virtual-router default routing-table ip static-route static-1 bfd profile None set network virtual-router default routing-table ip static-route static-1 interface ethernet1/1 set network virtual-router default routing-table ip static-route static-1 metric 10 set network virtual-router default routing-table ip static-route static-1 destination 1.1.1.1/32 set network virtual-router default routing-table ip static-route static-1 route-table unicast
セキュリティポリシー設定情報(show rulebase security rules)
設定されているセキュリティポリシー情報は、コンフィグレーションモードでshow rulebase security rulesにて確認できます。(下記は出力形式をsetにした場合のサンプル)
admin@PA-VM# show rulebase security rules set rulebase security rules Src-NAT to Untrust set rulebase security rules Src-NAT from Trust set rulebase security rules Src-NAT source 10.0.200.100/32 set rulebase security rules Src-NAT destination any set rulebase security rules Src-NAT source-user any set rulebase security rules Src-NAT category any set rulebase security rules Src-NAT application any set rulebase security rules Src-NAT service any set rulebase security rules Src-NAT source-hip any set rulebase security rules Src-NAT destination-hip any set rulebase security rules Src-NAT action allow ・ ・ ・
機器情報(show system info)
バージョンやシリアル番号などを確認するには、オペレーショナルモードでshow system infoを入力します。
admin@PA-VM> show system info hostname: PA-VM ip-address: 10.0.11.173 public-ip-address: unknown netmask: 255.255.255.0 default-gateway: 10.0.11.1 ip-assignment: dhcp ipv6-address: unknown ipv6-link-local-address: fe80::8xx:xxff:fexx:xxxx/64 ipv6-default-gateway: mac-address: xx:xx:xx:xx:xx:xx time: Sat Sep 18 00:21:32 2021 uptime: 0 days, 1:01:05 family: vm model: PA-VM serial: XXXXXXXXXXXXXXX ・ ・ ・
パフォーマンス情報
CPU・メモリ使用状況(show system resources)
マネージメントプレーンのCPUやメモリの使用状況は show system resourcesで確認できます。出力内容の味方は下記の記事を参考にしてください。
>> 参考記事 : ナレッジドキュメント show system resourcesコマンドの解釈現在のスループット・セッション情報(show system statistics session)
リアルタイムで、稼働中のスループットやセッション数を確認したい場合、オペレーショナルモードでshow system statistics sessionを入力します。
admin@PA-VM> show system statistics session
入力すると、下記のような画面に切り替わり、表示がリアルタイムに自動更新されます。
q を入力すると、画面が元の状態に戻ります。
現在までのアプリケーション統計トップ20(show system statistics application)
リアルタイムで、現在までのアプリケーションデータ量を確認したい場合、オペレーショナルモードでshow system statistics applicationを入力します。
admin@PA-VM> show system statistics application
入力すると、下記のような画面に切り替わり、表示がリアルタイムに自動更新されます。
q を入力すると、画面が元の状態に戻ります。
ネットワーク情報
インタフェース情報(show interface all)
すべてのインタフェース情報(IPアドレス、MACアドレス、Duplexなど)を確認する場合は、オペレーショナルモードでshow interface allを入力します。
admin@PA-VM> show interface all total configured hardware interfaces: 2 name id speed/duplex/state mac address -------------------------------------------------------------------------------- ethernet1/1 16 10000/full/up 0a:9a:2e:XX:XX:XX ethernet1/2 17 10000/full/up 0a:ff:db:XX:XX:XX aggregation groups: 0 total configured logical interfaces: 2 name id vsys zone forwarding tag address ------------------- ----- ---- ---------------- ------------------------ ------ ------------------ ethernet1/1 16 1 Trust vr:default 0 10.0.200.84/24 ethernet1/2 17 1 Untrust vr:default 0 10.0.100.59/24
インタフェース統計情報(show counter interface all)
すべてのインタフェースの統計情報(送受信バイト数、エラーなど)を確認する場合は、オペレーショナルモードでshow interface allを入力します。
admin@PA-VM> show counter interface all Hardware interface counters: -------------------------------------------------------------------------------- Interface: ethernet1/1 -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Physical port counters read from MAC: -------------------------------------------------------------------------------- rx-broadcast 0 rx-bytes 8413446 rx-multicast 23 rx-unicast 35368 tx-broadcast 0 tx-bytes 29630730 tx-multicast 0 tx-unicast 50491 -------------------------------------------------------------------------------- ・ ・ ・
ARPテーブル(show arp all)
ARPテーブルを確認する場合は、オペレーショナルモードでshow arp allを入力します。
admin@PA-VM> show arp all maximum of entries supported : 2500 default timeout: 1800 seconds total ARP entries in table : 3 total ARP entries shown : 3 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/1 10.0.200.1 0a:ca:b3:bb:xx:xx ethernet1/1 c 1763 ethernet1/1 10.0.200.100 0a:5a:b5:68:xx:xx ethernet1/1 c 1410 ethernet1/2 10.0.100.1 0a:ef:22:46:xx:xx ethernet1/2 c 1763
ルーティングテーブル(show routing route)
ルーティングテーブルを確認する場合は、オペレーショナルモードでshow routing routeを入力します。
admin@PA-VM> show routing route
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast
VIRTUAL ROUTER: default (id 1)
==========
destination nexthop metric flags age interface next-AS
0.0.0.0/0 10.0.100.1 10 A S ethernet1/2
1.1.1.1/32 10.0.100.1 10 A S ethernet1/1
10.0.100.0/24 10.0.100.59 0 A C ethernet1/2
10.0.100.59/32 0.0.0.0 0 A H
10.0.200.0/24 10.0.200.84 0 A C ethernet1/1
10.0.200.84/32 0.0.0.0 0 A H
total routes shown: 6
ネットワーク診断(ping / traceroute)
pingを実行するには、ping hostコマンドを使用します。デフォルトでは、マネージメントポートから送信されます。
admin@PA-VM> ping host 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=105 time=2.61 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=105 time=2.63 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=105 time=2.61 ms
送信元IPアドレスを指定するには、host指定の前にsourceとしてIPアドレスを指定します。
admin@PA-VM> ping source 10.0.100.59 host 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 10.0.100.59 : 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=104 time=3.81 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=104 time=3.19 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=104 time=2.99 ms
トレースルートもPingと同様のコマンドです。下記は送信元アドレスを指定してトレースルートする実行例です。
admin@PA-VM> traceroute source 10.0.100.59 host 8.8.8.8 traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets 1 54.150.128.33 7.431 ms 7.426 ms 7.425 ms 2 * * * 3 * * * ・ ・ ・
セッション情報
セッションテーブル(show session all)
現在のセッションテーブルを確認する場合、オペレーショナルモードでshow session allを入力します。
admin@PA-VM> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) ------------------------------------------------------------------------------- 60 ssl ACTIVE FLOW NS 10.0.200.100[49730]/Trust/6 (10.0.100.200[49730]) vsys1 20.205.248.73[443]/Untrust (20.205.248.73[443]) 61 ssl ACTIVE FLOW NS 10.0.200.100[49731]/Trust/6 (10.0.100.200[49731]) vsys1 20.205.248.73[443]/Untrust (20.205.248.73[443]) . . .
セッションテーブルのうち、条件による出力フィルタもできます。例えば、宛先が8.8.8.8のみのテーブルのみ抽出したい場合は、下記の通りとなります。
admin@PA-VM> show session all filter destination 8.8.8.8 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 25 ping ACTIVE FLOW NS 10.0.200.100[1]/Trust/1 (10.0.100.200[1]) vsys1 8.8.8.8[1181]/Untrust (8.8.8.8[1181])
現在のセッション数(show session info)
サポートされている最大セッション数と現在のセッション数を確認するには、show session infoを入力します。
admin@PA-VM> show session info
target-dp: *.dp0
--------------------------------------------------------------------------------
Number of sessions supported: 256000
Number of allocated sessions: 13
Number of active TCP sessions: 13
Number of active UDP sessions: 0
Number of active ICMP sessions: 0
・
・
・
ポリシーテスト(test security-policy-match)
実際の通信パターンを指定することで、どのセキュリティポリシーが適用されるのか、test security-policy-matchにて確認することができます。
例えば、下記条件で、どのポリシーが適用されるのかを確認する出力例です。
- 送信元ゾーン:Trust
- 宛先ゾーン:Untrust
- 送信元IPアドレス:10.0.200.100
- 宛先IPアドレス:8.8.8.8
- プロトコル:TCP(プロトコル番号:6)
- 宛先ポート:80
admin@PA-VM> test security-policy-match
from Trust to Untrust source 10.0.200.100 destination 8.8.8.8
protocol 6 destination-port 80
"Src-NAT; index: 1" {
from Trust;
source 10.0.200.100;
source-region none;
to Untrust;
destination any;
destination-region none;
user any;
source-device any;
destinataion-device any;
category any;
application/service 0:any/any/any/any;
action allow;
icmp-unreachable: no
terminal yes;
}
ログ情報
システムログはshow log system 、トラフィックログはshow log traffic で取得します。
システムログ(show log system)
admin@PA-VM> show log system Time Severity Subtype Object EventID ID Description ===================================================== 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/1: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/2: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/3: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/4: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/5: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/6: Down auto duplex 2021/09/16 04:53:08 info port ethern link-ch 0 Port ethernet1/7: Down auto duplex 2021/09/16 04:53:08 high general system- 1 The system is starting up.
トラフィックログ(show log traffic)
admin@PA-VM> show log traffic Time App From Src Port Source Rule Action To Dst Port Destination Src User Dst User End Reason Rule_UUid ================================================================ 2021/09/16 05:30:11 ping Untrust 0 126.xxx.xxxx.xxx Dest-NAT allow Trust 0 10.0.100.200 aged-out ff158ca8-3f3e-4646-ab9f-8dbb2aa8bcc8 2021/09/16 05:30:17 ping Untrust 0 126.xxx.xxxx.xxx Dest-NAT allow Trust 0 10.0.100.200 aged-out ff158ca8-3f3e-4646-ab9f-8dbb2aa8bcc8 2021/09/16 05:30:23 ping Untrust 0 126.xxx.xxxx.xxx Dest-NAT allow Trust 0 10.0.100.200 aged-out
再起動・停止
再起動する場合は、request restart system、停止する場合は、request shutdown systemを入力します。
再起動(request restart system)
admin@PA-VM> request restart system Executing this command will disconnect the current session. Do you want to continue? (y or n) y
停止(request shutdown system)
admin@PA-VM> request shutdown system Warning: executing this command will leave the system in a shutdown state. Power must be removed and reapplied for the system to restart. Do you want to continue? (y or n)y
コメント