動作確認環境
- PA-200
- Version 8.1.19
ポリシーのカウンターで利用状況を確認
Palo Alto ファイアウォールでは、セキュリティポリシーや NAT ルールにヒットカウンター機能があります。このカウンターを確認することで、そのポリシーが実際に利用されていることを確認できます。
ポリシーカウンターの確認方法
セキュリティポリシーのカウンターを確認する場合について記載します。
GUI での確認方法
[Policies → セキュリティ] 画面を開きます。
ポリシーリスト欄に、「ルールの使用状況」という項目があります。この項目の「ヒット数」欄にカウンターが表示されています。
CLI での確認方法
以下のコマンドでカウンターを表示できます。
show rule-hit-count vsys vsys-name vsys1 rule-base security rules all
実行例:
admin@PA-200> show rule-hit-count vsys vsys-name vsys1 rule-base security rules all
Rule Name Hit Count Last Hit Timestamp Last Reset Timestamp First Hit Timestamp
-----------------------------------------------------------------------------------------------------------------------------------------
Trust_to_Untrust_01 67 Wed Mar 15 10:57:14 2023 Tue Nov 30 09:27:35 1999 Tue Nov 30 09:27:53 1999
intrazone-default 0 - - -
interzone-default 0 - - -
Vsys: vsys1
Rulebase: security上記の Hit Count の列の値がカウント値になっています。
ポリシーカウンターのリセット方法
セキュリティポリシーのカウンターの値を 0 にリセットする方法について記載します。
GUI でのリセット方法
[Policies → セキュリティ] 画面のポリシーリスト欄 >「ルールの使用状況」項目内 >「ヒット数」欄の右側にマウスポインタを当てると、[▼] が表示されるためそれをクリックします。表示されたメニューから「リセット」をクリックすることでカウンターをリセットできます。
CLI でのリセット方法
以下のコマンドでカウンターをリセットできます。
clear rule-hit-count vsys vsys-name vsys1 rule-base security rules list <ポリシー名>
実行例:
admin@PA-200> clear rule-hit-count vsys vsys-name vsys1 rule-base security rules list Trust_to_Untrust_01
Succeeded to reset rule hit count for specified rules参考資料
How to clear rule-hit-count for a specific rule
How to clear rule-hit-count for a specific rule
knowledgebase.paloaltonetworks.com
コメント