動作確認環境
- PA-200
- Version 8.1.19
ログ転送プロファイルとは
トラフィックログを Syslog サーバに転送したい場合、セキュリティポリシーに対してログ転送プロファイルを設定します。
ログ転送プロファイルを GUI で設定する場合、以下の画面で設定します。
ログ転送プロファイルの設定がコンフィグで表示されない
GUI でログ転送プロファイルを作成して設定した場合、CLI の show コマンドで表示したコンフィグでログ転送プロファイルの設定に該当するコンフィグが表示されない事象を確認しています。
前項の GUI 画面のログ転送プロファイルを設定している場合、以下のようなコンフィグが表示されることが期待されます。
set shared log-settings profiles testLogProf match-list testList send-syslog SyslogProf
set shared log-settings profiles testLogProf match-list testList log-type traffic
set shared log-settings profiles testLogProf match-list testList filter "All Logs"
set shared log-settings profiles testLogProf match-list testList send-to-panorama noしかし、GUI でログ転送プロファイルを作成・設定した場合は上記コンフィグは表示されません。
Palo Alto ナレッジベースによると、この事象はバージョン 8.1.0 以降で発生し、予期される事象とのことです。
CLI で設定した場合はコンフィグ上に表示される
CLI でログ転送プロファイルを作成した場合は、ログ転送プロファイルの設定がコンフィグ上に表示されます。
また、CLI で作成したログ転送プロファイルの設定内容を GUI で編集した場合もコンフィグ上の表示に反映されます。
コンフィグを読み解くときに注意が必要
既存 Palo Alto 機器のリプレイス案件などでは、既存機器のコンフィグをもとに新機器のコンフィグを作成するケースが良くあります。
このとき、ログ転送プロファイルの設定がコンフィグ上に表示されていない可能性がある点に注意してください。特に、セキュリティポリシーの設定でログ転送プロファイルが設定されているもののログ転送プロファイル自体の設定がコンフィグ上に表示されていない場合はこの事象に該当している可能性が高いです。この場合は GUI 上での設定内容確認が必須になります。
参考資料
GUI を介してログ転送プロファイルを作成すると、設定は show コマンドで表示されません。
前提条件 この資料に記載されている内容は、pan-os 8.0.12、pan-os 8.1.0、および投稿時に最新のものである pan-os 8.1.3 で確認しました。 8.1.0 以降で問題が発生 した場合、GUI 経由でログ転送プロファイルを作成すると、ssh でログイン後に「sh
knowledgebase.paloaltonetworks.com
コメント