Palo Alto SNMP トラップを送信するための設定方法

管理系機能

動作確認環境

  • PA-200
    • Version 8.1.19

SNMP トラップを送信するための設定手順

Palo Alto ファイアウォールから SNMP マネージャへ SNMP トラップを送信するための設定手順は以下の通りです。

  1. サーバープロファイル > SNMP トラップ を作成する
  2. ログ設定で SNMP トラップとしてシステムログを送信する設定をする

サーバープロファイル > SNMP トラップの作成

サーバープロファイル > SNMP トラップの作成を GUI で行う場合、[Device → サーバープロファイル → SNMP トラップ] 画面の下部にある [追加] をクリックします。

以下の設定画面が表示されるため、各項目を設定します。

  • 名前: 任意のプロファイル名を入力します
    • 記号としては「-」「_」「.」を使用できます
  • バージョン: SNMP バージョンを指定します
  • 表部分: SNMP マネージャの情報を追加します
    • 名前: SNMP マネージャの表示名
    • SNMP マネージャ: SNMP マネージャの IP アドレス
    • コミュニティ: コミュニティ

CLI で設定する場合は以下の構文で設定します。

  • set shared log-settings snmptrap <プロファイル名> version v2c server <マネージャ名> manager <マネージャのIP>
  • set shared log-settings snmptrap <プロファイル名> version v2c server <マネージャ名> community <コミュニティ>

設定例: プロファイル名が SNMPprof、SNMPマネージャ名が SNMPserver、SNMPマネージャの IP が 192.168.1.10、コミュニティが hogehoge の場合

set shared log-settings snmptrap SNMPprof version v2c server SNMPserver manager 192.168.1.10
set shared log-settings snmptrap SNMPprof version v2c server SNMPserver community hogehoge

ログ設定のシステムログ送信設定

続いてログ設定でシステムログを SNMP トラップとして送信するための設定を行います。

GUI で設定する場合は [Device → ログ設定] 画面のシステム欄にある [追加] をクリックします。

以下の設定画面が表示されるため、各項目を設定します。

  • 名前: マッチリストの任意の表示名を入力
  • フィルタ: SNMP トラップとして送信するシステムログのフィルタ条件を指定します
    • フィルタ条件はフィルタビルダーを使用して任意に設定できます
    • 例えばリンク状態変化のみに限定したい場合はフィルタ条件を "(eventid eq link-change)" とします
  • 内容: 説明文を設定したい場合のみ入力します
  • SNMP 欄: あらかじめ作成しておいた SNMP トラッププロファイルを追加します

CLI で設定する場合は以下の構文で設定します。

  • set shared log-settings system match-list <マッチリスト名> send-snmptrap <SNMPトラッププロファイル名>
  • set shared log-settings system match-list <マッチリスト名> filter "<フィルタ条件>"
  • set shared log-settings system match-list SNMP description <内容>

設定例:

set shared log-settings system match-list SNMP send-snmptrap SNMPprof
set shared log-settings system match-list SNMP filter "(eventid eq link-change)"

SNMP トラップの送信元インターフェースについて

Palo Alto ファイアウォールが SNMP トラップを送信する際の送信元インターフェースは、デフォルトでは MGT インターフェースです。

送信元インターフェースを変更したい場合は、GUI で設定する場合は [Device → セットアップ] 画面のサービスタブのサービス機能→サービスルートの設定から行います。

CLI で設定する場合は以下の構文で設定します。

  • set deviceconfig system route service snmp source interface <IF>
  • set deviceconfig system route service snmp source address <IFのIPアドレス>

設定例:

set deviceconfig system route service snmp source interface management
set deviceconfig system route service snmp source address 192.168.1.1

留意点

  • Palo Alto の SNMP トラップ送信の仕様としては、システムログをベースにしてフィルタをかけて SNMP トラップとして送信するという仕様です。このため、適切にフィルタを設定しないと不要なトラップが送信されたり、必要なトラップが送信されなかったりすることが考えられます

【全記事リスト】Palo Alto 設計構築用ナレッジまとめ
基礎知識 Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】 Palo Alto コンフィグの種類とコミットとは【基礎知識】 Palo Alto ホスト名とドメイン名の設定方法 Palo Alto 管理インターフェース...
palofw-lab.com
2023.02.11

コメント

Ads Blocker Image Powered by Code Help Pro

広告ブロッカーが検出されました

当ブログは広告ブロッカーを利用しての閲覧に対応していません。

閲覧するためにはブラウザの拡張機能で広告ブロッカーを無効化してください。

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

タイトルとURLをコピーしました