この記事では、Palo AltoデバイスでのSNMP(Simple Network Management Protocol)の基本設定から監視、トラブルシューティングまでを一通り解説します。
SNMPを使用することで、これらのデバイスの様々なパラメータを監視し、ネットワークの健全性を維持することが可能になります。
例えば、トラフィックの流れ、デバイスの使用状況、セキュリティイベントなど、さまざまな情報を取得し、それに基づいて適切な対策を講じることができます。
SNMPアクセスの設定
Palo AltoデバイスでSNMPを設定する基本的な手順を解説します。
SNMPコミュニティの設定
「DEVICE」タブに移動し、「セットアップ」オプションを選択し、「操作」タブの中から、「SNMPのセットアップ」をクリックします。
「SNMP コミュニティ名」にコミュニティ名(今回は hirotano とします)を入力し、「OK」をクリックして保存します。
管理インタフェースでのSNMP許可
管理インタフェースにて、SNMPサービスを有効化します。
「DEVICE」タブに移動し、「セットアップ」オプションを選択し、「インタフェース」タブの中から、「Management」をクリックします。
「SNMP」オプションを選択し、「OK」をクリックします。もし、SNMPの送信元IPアドレスを制限したい場合は、「アクセス許可IPアドレス」から「追加」で許可したいIPアドレスを登録します。今回は、送信元IPアドレスの制限はしません。
「Commit」を実行し、設定を反映させます。
SNMPアクセスの動作確認
下記のメーカドキュメントを参考に、「MIB browser」というツールを使用して、動作確認したところ、SNMP経由での情報取得できていることが確認できます。
PaloaltoデバイスのOID監視
SNMPを用いたネットワーク監視において、Object Identifier(OID)は、デバイスの特定の情報や状態を識別するための一意の識別子です。
Palo Altoデバイスでは、特定のOIDを通じて重要な情報を監視することができます。
Palo Altoデバイスでの監視に役立つ主要なOIDは、下記ドキュメントを参考にしてください。
>> 参考記事 :SNMP for Monitoring Palo Alto Networks Devices
いくつかの項目に関して、「MIB browser」というツールで取得内容を確認しています。
管理CPU(1.3.6.1.2.1.25.3.3.1.2.1)
管理面でのCPU使用率を示します。
インターフェースの名前(1.3.6.1.2.1.2.2.1.2.X)
デバイスの各インターフェースの名前を示します(例: MGMT、HA、ethernet1/1)
OIDのXはインタフェース番号です。
インターフェースのアップ/ダウン状態(1.3.6.1.2.1.2.2.1.8.X)
インターフェースがアップ(1)かダウン(2)かの状態を示します。
インターフェースの受信カウンタ(1.3.6.1.2.1.2.2.1.10)
インターフェースを通じての受信トラフィック量を示します。
インターフェースの送信カウンタ(1.3.6.1.2.1.2.2.1.16)
インターフェースを通じての送信トラフィック量を示します。
システム稼働時間(1.3.6.1.2.1.25.1.1.0)
デバイスのシステム稼働時間を示します。
アクティブなセッション数(1.3.6.1.4.1.25461.2.1.2.3.3.0)
現在アクティブなセッション数を示します。
SNMPトラップの設定
ネットワーク管理において、リアルタイムのイベント通知には、SNMPトラップがよく用いられます。
SNMPトラップは、特定のイベントや状態の変化が発生した際に、自動的に通知をSNMPマネージャに送信する機能です。
Palo AltoデバイスにおけるSNMPトラップの設定は、以下のステップで行います。
SNMPトラップサーバープロファイルの作成
「DEVICE」タブにアクセスし、「サーバプロファイル」セクションに移動し、「SNMP トラップ」から「追加」ボタンをクリックします。
サーバー名、IPアドレス、コミュニティ文字列などを設定します。
- 名称:任意の名前。今回は、SMMP_Profile とします。
- バージョン:V2c を選択
「追加」をクリックすると、SNMPマネージャーやコミュニティを設定することができます。
- 名前:任意の名前。今回は、SNMP_Manager とします。
- SNMPマネージャ:トラップを受信するIPアドレス。今回は、192.168.10.167 を設定。
- コミュニティ:トラップ送信時のSNMPコミュニティ名。今回は、 hirotano とします。
ログ設定の調整
どのログをSNMPトラップとして送信するのかを設定します。
今回は、システムログの内容を、SMMPトラップで送信する設定を確認します。
「DEVICE」タブにアクセスし、「ログ設定」セクションに移動し、「システム」から「追加」ボタンをクリックします。
上で作成したSNMPトラップサーバープロファイルを適用します。
- 名前:任意の名前。今回は SNMP_Trap とします。
- フィルタ:SNMPトラップで送信したいログ条件(フィルタ)を設定します。今回は、フィルタはせずに、すべてのログをSNMPトラップとして送信します。
- 転送方式:SNMPの欄で、上で設定したSNMP_Profileを追加します。
設定完了後、「OK」をクリックします。
「Commit」して設定を反映させます。
SNMPトラップの受信確認
「SNMPアクセスの動作確認」のセクションで使用した「MIB browser」というツールにて、トラップ受信できていることが確認できます。
下記の例ですと、Commitに成功した旨のシステムログがSNMPトラップとして受信されています。
その他SNMPトラップの転送(システムログ以外)
システムログ以外にも複数のログタイプが存在し、各種ログの種類に応じたプロファイルを設定することで、SNMPトラップをすることができます。
ログ設定
「ログ設定」では、下記のログを転送する設定ができます。
- システム
- 設定
- ユーザID
- HIPマッチ
- GlobalProtect
- IP Tag
下記の画面のように、「システム」の設定の下に、「設定」「ユーザID」・・と順次、項目があります。
「設定」や「ユーザID」など、ログ種別毎に、ログ条件(フィルタ)とSNMPトラップサーバープロファイルを設定します。
ログ転送プロファイル
「ログ転送プロファイル」では、下記のログを転送する設定ができ、プロファイルはポリシーに割り当てます。
- 認証
- データフィルタリング
- 復号
- 脅威
- トラフィック
- トンネル検査
- URLフィルタリング
- WildFireへの送信
下記の画面のように、「ログ転送プロファイルのマッチリスト」の「ログタイプ」より選択、転送方式としてSNMPを設定することができます。
ログ転送プロファイルにおけるログ転送は、SYSLOGサーバの記事で詳細を確認しています。SYSLOGをSNMPに置き換えてお読みください。
>> 参考記事 :【Paloalto】Syslogへのログ転送設定を解説 PANOS 10.2.4
ログフィルタ
上の例では、すべてのシステムログをSNMPトラップ送信しましたが、緊急度の高い一部のログのみ、SNMPトラップ送信の対象にしたい場合があります。
この場合は、「ログ設定」の「フィルタ」で、送信対象をフィルタしてください。
上の例では、Severity が Critical であることを条件に、SNMPトラップを送信します。フィルタビルダーを使用すれば、もっと詳細に条件を設定することができます。
フィルタビルダーに関しても、SYSLOGの記事で確認しておりますので、あわせてご確認ください。
>> 参考記事 :【Paloalto】Syslogへのログ転送設定を解説 PANOS 10.2.4サービスルートの設定(送信元インタフェースの変更)
デフォルトでは、SNMPトラップは管理インターフェースから出力されます。
管理インタフェースからSNMPサーバへ到達できないなどのネットワーク構成の場合は、「サービスルート」の設定により、出力するインタフェースを変更することができます。
「DEVICE」タブを選択し、「セットアップ」セクションに移動します。その後、「サービス」タブにある「サービスルートの設定」をクリックします。
「カスタマイズ」にチェックを入れ、「SNMPトラップ」をクリックします。
「送信元インタフェース」および「送信元アドレス」を選択し、「OK」をクリックします。
下記のとおり、設定が変更されます。「OK」をクリックし、Commitすることで、設定が反映されます。
この記事では、SNMP関連の設定とSNMPアクセス、およびトラップ送信の動作について確認しました。
コメント