Paloalto

Panorama系列--(4)Panorama收集日志与添加磁盘

Liu Qianglong

4 min read
Panorama系列--(4)Panorama收集日志与添加磁盘

Panorama 可以聚合所有管理防火墙的日志,并显示网络中所有流量的信息。此外,它还提供了所有策略修改的审核记录和对受管防火墙所作的配置更改。

一、Panorama集中收集日志

新建日志收集器,填入Panorama的序列号,配置提交到Panorama。image-20230202141158879

添加一块磁盘,因为虚拟机在启动时,已经添加过一块2TB的磁盘,所以这里可以直接识别出来。配置完后继续提交到Panorama。image-20230202141223744

新建收集组,设置日志保留时间,添加刚才创建的收集器。配置完后,配置提交并推送到防火墙设备image-20230202141254517

查看收集器状态,如果收集组的配置没有推送到防火墙,可能遇见“Ring version mismatch”的报错。image-20230202141510645

编辑需要记录日志的策略,设置日志转发到IoT Security Default Profile,这是一个默认的日志策略,会记录所有日志信息。

如果防火墙已经修改过默认策略,那么Panorama是无法推送默认策略到防火墙上的,需要先在防火墙上点击Revert同步Panorama的策略,之后才能接受来自Panorama的策略。image-20230202141412203

等待一会,在Panorama上查看日志信息。image-20230202141438718

二、AWS 上Panorama添加日志硬盘

Panorama文档推荐日志都使用2TB的硬盘:

  • AWS 上的 Panorama 虚拟设备仅支持 2TB 日志磁盘,总共支持高达 24TB 的日志存储。您无法添加小于 2TB 的日志记录磁盘,或大小不能被 2TB 日志记录磁盘要求整除的日志记录磁盘。Panorama 虚拟设备将大于 2TB 的日志记录磁盘分区为 2TB 分区。

在AWS上新建一个2048GB的存储卷。注意,卷需要与Panorama在同一个可用区。image-20230202144451989

创建完成后挂载这个卷。image-20230202144502075

挂载到Panorama实例上。image-20230202144653695

查看Panorama实例的存储信息。image-20230202144701296

通过SSH登录Panorama,查看磁盘状态,可以看到多了一块xvdf磁盘,但是状态为Unavailable

admin@Panorama> show system disk details

Name   : xvdb
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

Name   : xvdf
State  : Present
Size   : 2097152 MB
Status : Unavailable
Reason : Admin disabled

请求使用这个磁盘。

admin@Panorama> request system disk add xvdf
Executing this command will delete all data on the drive being added. Do you want to continue? (y or n)

This may take few minutes. Run 'show system disk details' to see the status

再次查看磁盘状态,磁盘已经可用。

admin@Panorama> show system disk details

Name   : xvdb
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

Name   : xvdf
State  : Present
Size   : 2097152 MB
Status : Available
Reason : Admin enabled

在Panorama收集器上添加磁盘,并将配置提交推送。image-20230202144709251

查看Panorama收集器状态。image-20230202144852221