Palo Alto Networks
®
Panorama 管理者ガイド
バージョン 6.1
連絡先情報
本社 :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、Panorama を中央管理用に設定して使用する方法を説
明します。このガイドは、Palo Alto Networks ファイアウォールの中央
管理用に Panorama バーチャル アプライアンスや M-100 アプライアン
スをすばやく設定するための基本フレームワークを必要とする管理
者を対象としています。
M-100 アプライアンスがある場合は、M-100 アプライアンスのラック
マウントを完了した後、このガイドの説明を参照してください。
詳細は、以下の資料を参照してください。

ファイアウォールの機能の設定手順は、
『PAN-OS 管理者ガイド』を
参照してください。このガイドに記載されていない、ファイア
ウォールと共通する Panorama の設定項目については、『Palo Alto
Networks 管理者ガイド』も併せて参照してください。

テクニカル ドキュメント セット一式
（https://paloaltonetworks.com/documentation）

ナレッジ ベース、およびディスカッション フォーラム
（https://live.paloaltonetworks.com）

最新のリリース ノートは、ソフトウェア ダウンロード ページ
（https://support.paloaltonetworks.com/Updates/SoftwareUpdates）

サポート窓口、サポート プログラムの詳細、アカウントまたはデ
バイスの管理（https://support.paloaltonetworks.com）
ドキュメントのフィードバックは、以下の宛先までご送付ください。
[email protected]
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. All rights reserved.
Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の登録商標です。
改定日 : 2015 年 6 月 18 日
ii
目次
Panorama の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Panorama について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Panorama プラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
設定および導入の中央管理について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
ファイアウォールと Panorama 間のコンテキスト切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
デバイス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
ログとレポートの中央管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
ログ オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
管理対象コレクタおよびコレクタ グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
複数のログ コレクタを含むコレクタ グループに関する注意事項 . . . . . . . . . . . . . . . . . . . . . 11
一元的なレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Panorama のコミット操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ロールベースのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
認証プロファイルと認証シーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
アクセス ドメイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
推奨される Panorama の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
中央管理およびレポートのための Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
分散ログ収集デプロイ環境における Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
導入計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Panorama の導入 : タスク概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Panorama のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Panorama バーチャル アプライアンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Panorama バーチャル アプライアンスのセットアップ前提条件 . . . . . . . . . . . . . . . . . . . . . . . 26
ESX(i) サーバーでの Panorama のインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Panorama バーチャル アプライアンスの初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Panorama バーチャル アプライアンスでのログ ストレージ容量の拡張. . . . . . . . . . . . . . . . . 31
Panorama バーチャル アプライアンスのセットアップの完了. . . . . . . . . . . . . . . . . . . . . . . . . . 35
M-100 アプライアンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
M-100 アプライアンスの初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Panorama モードからログ コレクタ モードへの切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
M-100 アプライアンスのストレージの拡張 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行. . . . . . . . . . . . . . . . . 46
M-100 アプライアンスに移行する場合の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
M-100 アプライアンスへの移行計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Panorama 管理者ガイド
iii
M-100 アプライアンスへの移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
M-100 アプライアンスへの移行後のファイアウォール管理の再開 . . . . . . . . . . . . . . . . . . . . 49
Panorama の登録とライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama の登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama サポート ライセンスのアクティベーション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama バーチャル アプライアンスでのデバイス管理ライセンスのアク
ティベーション / 取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
M-100 アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得 . . . . .
51
51
52
コンテンツ更新および、Panorama ソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . .
Panorama およびログ コレクタのコンテンツ更新の依存関係 . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama からインターネットに接続できる場合の更新のインストール . . . . . . . . . . . . . . .
Panorama からインターネットに接続できない場合の更新のインストール . . . . . . . . . . . . .
56
56
57
59
Panorama 管理インターフェイスへのアクセスおよびナビゲート . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama Web インターフェイスへのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama Web インターフェイスへのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama CLI へのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
62
63
64
Panorama への管理アクセスのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクセス ドメインの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
認証プロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
認証シーケンスの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理認証の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
65
68
69
70
71
53
53
ファイアウォールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
管理対象デバイスとしてのファイアウォールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
デバイス グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス グループの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
共有またはデバイス グループ ポリシーで使用するオブジェクトの作成 . . . . . . . . . . . . . .
共有オブジェクトの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama での URL フィルタリング ベンダーの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールのサブセットへのポリシーのプッシュ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルール階層の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
79
81
83
84
85
87
テンプレートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレートの機能および例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレートの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールがテンプレートから仮想システムを受け入れるときのプロセス . . . . .
テンプレート設定のオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレート設定の無効化 / 削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
90
91
94
94
95
ファイアウォールから Panorama 管理への移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
ユース ケース : Panorama を使用したファイアウォールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
中央管理設定とポリシーのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
97
98
99
99
Panorama 管理者ガイド
ログ収集の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Panorama へのログ転送の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
ログ タイプごとの Panorama へのログ転送フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Panorama へのログ転送の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
管理対象コレクタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
コレクタ グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
コレクタ グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
コレクタ グループからのファイアウォールの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Panorama へのログ転送の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
ログ転送とバッファのデフォルトの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Panorama から外部の宛先へのログ転送の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
ログ収集デプロイ環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
ログ収集デプロイ環境の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
専用のログ コレクタを使用する Panorama のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
デフォルトのログ コレクタを使用する Panorama のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . 148
ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデプロイ . . . . . . 158
ライセンスの管理と更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Panorama、ログ コレクタ、およびファイアウォールのバージョン互換性 . . . . . . . . . . . . . . . . 164
Panorama を使用したファイアウォールのライセンス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Panorama を使用したデバイスへの更新のデプロイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
デバイス タイプ別のサポートされている更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Panorama を使用したデバイスへのコンテンツ更新のスケジュール設定 . . . . . . . . . . . . . . 168
ファイアウォール HA ペアへのソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . 170
Panorama がインターネットに接続されている場合にデバイスに更新をデプロイする. . . . 171
Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする. . . 173
ネットワーク アクティビティのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Panorama を使用した可視化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
ACC およびアプリケーション スコープを使用したネットワークのモニタリング . . . . . 180
ログ データの分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
レポートの生成、スケジュール設定、および電子メール送信 . . . . . . . . . . . . . . . . . . . . . . . 183
ユース ケース : Panorama を使用したアプリケーションのモニタリング . . . . . . . . . . . . . . . . . . 187
ユース ケース : Panorama を使用したインシデントに対する応答 . . . . . . . . . . . . . . . . . . . . . . . . . 191
インシデントの通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
脅威ログの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
WildFire ログの確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
データ フィルタリング ログの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
セキュリティ ポリシーの更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Panorama 管理者ガイド
v
Panorama の高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Panorama HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
HA 設定の Panorama での優先度とフェイルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
HA ハートビート ポーリングおよび Hello メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
HA パス モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Panorama HA でのロギングに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Panorama バーチャル アプライアンスでのロギングのフェイルオーバー. . . . . . . . . . . . . . 203
M-100 アプライアンスでのロギングのフェイルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Panorama HA ピア間の同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Panorama HA ペアの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama での HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama HA フェイルオーバーのテスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama のフェイルオーバーにより NFS ロギングが再開された後の
優先度の切り替え. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA 構成の Panorama のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
プライマリ Panorama のアクティブ状態への復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
206
206
209
210
211
212
Panorama の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
設定バックアップ ファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定ファイルのエクスポートのスケジュール設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama の設定バックアップ ファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama に保存される設定バックアップ ファイル数の設定 . . . . . . . . . . . . . . . . . . . . . . . .
管理対象ファイアウォールでの設定バックアップ ファイルのロード . . . . . . . . . . . . . . . .
214
215
216
217
217
Panorama の各設定ファイル間の変更点の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
設定の変更へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定ロックのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロックを設定する場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロックの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロック所有者の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
コミット ロックの自動実施の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ロックの解除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
219
220
220
220
221
221
Panorama へのカスタム ロゴの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Panorama のタスク完了履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
ログ ストレージ割り当ての再割り当て. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Panorama のモニタリング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama のシステム ログと設定ログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama の電子メール アラートのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama をモニターする SNMP のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
226
226
227
228
Panorama の再起動またはシャットダウン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Panorama の診断ファイルの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
Panorama のパスワード プロファイルおよび複雑性の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
vi
Panorama 管理者ガイド
M-100 アプライアンスの障害ディスクの置き換え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Panorama バーチャル アプライアンスの仮想ディスクの置き換え . . . . . . . . . . . . . . . . . . . . . . . . 238
トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Panorama システムの問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Panorama がサスペンド状態になっている場合の診断. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
ファイル システム整合性チェック モニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理. . . . . . . . 243
Panorama HA デプロイ環境でのスプリット ブレインからの回復 . . . . . . . . . . . . . . . . . . . . . 243
ログ ストレージと接続に関する問題のトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . 245
Panorama ポートの使用状況の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
コレクタ グループのログ保存エリアがゼロと表示される問題を解決する . . . . . . . . . . . . 246
ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後にログを
回復する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを
回復する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する . . . . . . . 254
M-100 アプライアンス RAID ペアのメタデータの再生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
RMA ファイアウォールの交換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
ファイアウォールの部分的なデバイス状態の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
RMA ファイアウォール交換の前準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
交換後のファイアウォール設定の復元. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
テンプレート コミット エラーの診断. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
タスクの成否の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Panorama 管理者ガイド
vii
viii
Panorama 管理者ガイド
Panorama の概要
Panorama では、複数の Palo Alto Networks 次世代ファイアウォールの中央管理と可視化を実現でき
ます。すべてのアプリケーション、ユーザー、および特定の場所からネットワークを通過する
コンテンツを管理できます。次に、この情報を使用して、ネットワーク全体を保護および制御
するアプリケーション有効化ポリシーを作成できます。Panorama を使用してポリシーとデバイス
を中央管理すると、ファイアウォールの分散ネットワークを効率的に管理および維持できます。
以下のセクションでは、Panorama について説明します。また、Panorama の導入を計画するため
のガイドラインも提供します。

Panorama について

Panorama プラットフォーム

設定および導入の中央管理について

ログとレポートの中央管理

ロールベースのアクセス制御

推奨される Panorama の導入

導入計画

Panorama の導入 : タスク概要
Panorama 管理者ガイド
1
Panorama について
Panorama の概要
Panorama について
Panorama では、Palo Alto Networks 次世代ファイアウォールの中央管理を行うことができます
（以下の図を参照）。
Panorama を使用すれば、中央管理と必要に応じたローカル制御により、Palo Alto Networks ファ
イアウォールを効果的に設定、管理、およびモニターできます。以下の 3 つの重要なエリアで
Panorama の付加価値を得られます。

一元的な設定および導入 — ネットワーク上のファイアウォールの中央管理と迅速な導入を簡
略化するには、Panorama を使用して、導入のためにファイアウォールを事前に設定します。
次に、ファイアウォールをグループにまとめて、ネットワークおよびデバイスの基本設定を
適用する各種テンプレートを作成し、デバイス グループを使用して共有ポリシーとローカル
ポリシーをグローバルに管理できます。「設定および導入の中央管理について」を参照して
ください。

分析およびレポートの中央管理による集約ロギング — ネットワーク上のすべての管理対象ファ
イアウォールのアクティビティに関する情報を収集して一元的に分析し、データの調査とレ
ポートを行います。このようにネットワーク トラフィック、ユーザー アクティビティおよ
び関連タスクの包括的なビューを提供することで、ネットワーク上のアプリケーションを安
全に有効化できる豊富なポリシー セットを使用して、潜在的な脅威に対応できるようになり
ます。「ログとレポートの中央管理」を参照してください。

分散管理 — グローバル / ローカルのファイアウォール設定およびポリシーへのアクセスを委
任または制限できます。分散管理での適切なアクセス レベルの委任の詳細は、ロールベース
のアクセス制御を参照してください。
Panorama は、2 つのプラットフォーム（バーチャル アプライアンスと専用ハードウェア アプラ
イアンス）で使用できます。詳細は、「Panorama プラットフォーム」を参照してください。
2
Panorama 管理者ガイド
Panorama の概要
Panorama プラットフォーム
Panorama プラットフォーム
Panorama は、2 つのプラットフォームで使用できます。どちらのプラットフォームでも、最大
25 台、100 台、または 1,000 台のファイアウォールを管理できる各ファイアウォール管理ライセ
ンスをサポートしています。

Panorama バーチャル アプライアンス — Panorama バーチャル アプライアンスは VMware サー
バーにインストールされます。このアプライアンスでは、シンプルなインストールが可能
で、バーチャル管理アプライアンスを必要とするサイトのサーバー統合を容易に行うことが
できます。また、Network File System（NFS）と統合してストレージを増やすことができ、
2 TB を超えるログ保持機能をサポートしています。
Panorama バーチャル アプライアンスは、ファイアウォールが 10 台以下で、ログ レートが
10,000 件 / 秒以下の環境に最適です。

M-100 アプライアンス — 大規模なデプロイを対象とした専用ハードウェア アプライアンスで
す。ログ レートとログ保持要件の高い環境の場合、このプラットフォームを使用すること
で、ログ収集インフラストラクチャのスケーリングが可能になります。このアプライアンス
では、ディスク障害から保護できるように RAID 1 ミラーリングがサポートされており、デ
フォルトの出荷構成には 2 つの 1 TB ドライブが含まれています。M-100 アプライアンスで
は、RAID ペアを追加することで最大 4 TB のログ ストレージに対応できます。
M-100 アプライアンスでは、以下の導入モードがサポートされているため、中央管理機能と
ログ収集機能を分離できます。
–
Panorama モード : アプライアンスは、中央管理機能とログ収集機能の両方を実行します。
これがデフォルトのモードです。
–
ログ コレクタ モード : アプライアンスは専用のログ コレクタとして機能します。ログ コ
レクタは、Panorama モードの M-100 アプライアンスまたは Panorama バーチャル アプラ
イアンスで管理できます。
ログ コレクタ モードで導入した場合、アプライアンスには Web インターフェイスがな
く、管理アクセスは CLI のみになります。ただし、アプライアンスの管理には Panorama
管理サーバー（Panorama モードの M-100 アプライアンスまたは Panorama バーチャル ア
プライアンス）を使用します。ログ コレクタ モードの M-100 アプライアンスに CLI でア
クセスする必要があるのは、初期セットアップ時およびデバッグ時のみです。
バーチャル アプライアンスのニーズ、管理する Palo Alto Networks ファイアウォール数、および
ログ収集要件に基づいて、プラットフォームを選択します（詳細は、以下の表を参照）。
考慮事項
Panorama
バーチャル
アプライアンス
管理対象ファイア
ウォール数
10 台以下のファ 最大 1,000 台のファイア
イアウォール
ウォール
最大 1,000 台のファイアウォール
ログ収集レート
< 10,000 ログ / 秒 < 10,000 ログ / 秒
> 10,000 ログ / 秒
（ログ コレクタごとに最大
50,000 ログ / 秒）
Panorama 管理者ガイド
Panorama モードの
M-100 アプライアンス
ログ コレクタ モードの
M-100 アプライアンス
3
設定および導入の中央管理について
Panorama の概要
設定および導入の中央管理について
Panorama では、「デバイス グループ」と「テンプレート」を使用して、類似した設定を必要と
する小さな論理セットにデバイスをグループ化します。管理対象ファイアウォールのすべての
設定要素、ポリシーおよびオブジェクトは、デバイス グループとテンプレートを使用して
Panorama で中央管理できます。Panorama では、設定およびポリシーを管理するだけでなく、ラ
イセンス、ソフトウェアおよび関連するコンテンツ更新（SSL-VPN クライアント、GlobalProtect
エージェント、ダイナミック コンテンツ更新（アプリケーション、脅威、WildFire およびアン
チウイルス））を中央管理できます。

ファイアウォールと Panorama 間のコンテキスト切り替え

テンプレート

デバイス グループ
ファイアウォールと Panorama 間のコンテキスト切り替え
Panorama Web インターフェイスでは、コンテキスト切り替えを使用して Panorama 中心のビューと
ファイアウォール中心のビューを切り替えることができます。最初に、Panorama を使用して
ファイアウォールを中央管理するように選択しておき、次に、コンテキストを特定の管理対象
ファイアウォールに切り替えて、ファイアウォールのユーザー インターフェイスを使用して
ファイアウォールを設定できます。管理対象ファイアウォールと Panorama のユーザー インター
フェイスは類似しているため、必要に応じてインターフェイス間をシームレスに移動し、ファ
イアウォールを管理およびモニターできます。
アクセス ドメインを設定して、特定の管理対象ファイアウォールに対する管理アクセスを制限し
ている場合、Panorama ユーザー インターフェイスには、ログイン中の管理者に許可されている
ファイアウォール / 機能のみが表示されます。
テンプレート
テンプレートは、ネットワーク上で管理対象ファイアウォールが動作するのに必要な設定を行
うために使用します。テンプレートを使用すれば、Panorama の [Network] および [Device] タブ
で共通の基本設定を定義できます。たとえば、インターフェイスやゾーンの設定、ログおよび
SNMP アクセス用のサーバー プロファイル、ゾーンや IKE ゲートウェイへのアクセスを制御す
るネットワーク プロファイルなどをテンプレートを使用して管理できます。ファイアウォール
をグループ化してテンプレートの設定を定義する場合、ハードウェア モデルが類似していて、
類似するネットワーク リソース（ゲートウェイや Syslog サーバーなど）へのアクセスを必要と
するファイアウォールをグループ化することを検討してください。
4
Panorama 管理者ガイド
Panorama の概要
設定および導入の中央管理について
テンプレートを使用すると、限定された共通の基本設定をファイアウォール グループにプッ
シュし、残りの設定をファイアウォール側で手動で行うことができます。または、より広範な
共通の基本設定をプッシュし、ファイアウォール固有の変更に合わせてテンプレート設定を
ファイアウォール側でオーバーライドすることもできます。ファイアウォールの設定をオー
バーライドすると、設定はファイアウォールのローカル設定に保存され、Panorama テンプレー
トで管理されなくなります。ただし、Panorama を使用してテンプレート設定をファイアウォー
ルに適用したり、ファイアウォール側でテンプレート設定を復元することはできます。たとえ
ば、テンプレートに共通の NTP サーバーを定義しておき、ファイアウォールのタイム ゾーンに
合わせてファイアウォールの NTP サーバー設定をオーバーライドするといったことができま
す。テンプレート設定を復元すれば、ファイアウォール側でローカルに行った変更を簡単に取
り消したり元に戻したりできます。
テンプレートを使用して、操作状態（FIPS モードなど）の変更を定義したり、ファイアウォー
ルのマルチ vsys モードを有効にしたりすることはできません。詳細は、「テンプレートの機能
および例外」を参照してください。
デバイス グループ
Panorama を効果的に使用するには、ネットワーク上のファイアウォールを「デバイス グループ」
と呼ばれる論理ユニットにグループ化する必要があります。デバイス グループでは、ネット
ワーク セグメンテーション、地理的な場所、類似するポリシー設定を実装する必要があるかど
うかに基づいてグループ化できます。デバイス グループには、物理ファイアウォール、仮想
ファイアウォールおよび（または）仮想システムを含めることができます。デフォルトでは、
すべての管理対象デバイスが Panorama の共有デバイス グループに属します。
デバイス グループを使用すると、Panorama の [Policies] タブと [Objects] タブを使用してポリ
シーとオブジェクトを中央管理できます。オブジェクトは、ポリシーで参照される設定要素で
す。ファイアウォール ポリシーでは、IP アドレス、URL カテゴリ、セキュリティ プロファイ
ル、ユーザー、サービス、およびアプリケーションなどのオブジェクトが使用されます。
デバイス グループを使用すると、共有オブジェクトまたはデバイス グループ固有のオブジェク
トを作成できます。次に、それらのオブジェクトを使用してルール（およびルールベース）の
階層を作成し、管理対象ファイアウォールによるインバウンドおよびアウトバウンド トラ
フィックの処理方法を適用できます。たとえば、企業の利用規約を一連の共有ポリシーとして
定義できます。次に、支社にのみ BitTorrent などのピアツーピア トラフィックへのアクセスを
許可するために、共有ポリシーとしてセキュリティ ルールを作成し、このルールのターゲット
として支社を指定したり、このルールをデバイス グループ ルールとして支社にプッシュできま
す。「ユース ケース : Panorama を使用したファイアウォールの設定」を参照してください。

ポリシー

オブジェクト
Panorama 管理者ガイド
5
設定および導入の中央管理について
Panorama の概要
ポリシー
デバイス グループを使用すると、管理対象ファイアウォールのネットワーク全体のポリシーを
管理する階層的な手段を実装できます。以下の表に、ポリシー階層、ポリシーが適用される
ファイアウォール、およびポリシーの管理場所となるプラットフォームの一覧を示します。
ポリシー
範囲
管理プラットフォーム
共有
すべてのデバイス グループのすべてのファイアウォール。 Panorama
デバイスグループ固有 1 つのデバイス グループに割り当てられているすべての Panorama
ファイアウォール。
ローカル（ファイア
ウォール固有）
1 つのファイアウォール 。
ファイアウォール
デフォルト（セキュリ デフォルトでは、デフォルト ルールは共有され（すべて Panorama または
ティ ルールのみ）
のデバイス グループのすべてのファイアウォールに適用 ファイアウォール
され）、事前定義済みの設定の一部になります。ただ
し、デフォルト ルールを編集（オーバーライド）する
と、そルールの範囲が、編集を行ったレベル、すなわち
デバイス グループまたはローカル（ファイアウォール /
仮想システム）に変更されます。
共有ポリシーとデバイス グループ固有のポリシーのどちらでも、プレ ルールとポスト ルール
を作成し、すべてのルールベース（セキュリティ、NAT、QoS、ポリシー ベース フォワーディ
ング、復号化、アプリケーション オーバーライド、キャプティブ ポータル、および DoS プロテ
クション）を中央管理できます。

プレ ルール — ルール順序の先頭に追加され、PAN-OS によって最初に評価されるルールです。
プレ ルールを使用して、組織の利用規約を適用できます。たとえば、特定の URL カテゴリ
へのアクセスをブロックしたり、すべてのユーザーの DNS トラフィックを許可したりしま
す。プレ ルールは、共有することも、デバイス グループ固有のルールにすることもできます。

ポスト ルール — プレ ルールおよびローカル ファイアウォール ルールの後に PAN-OS によって
評価されるルール。通常、ポスト ルールには、App-ID、User-ID、またはサービスに基づい
てトラフィックへのアクセスを拒否するルールが含まれます。プレ ルールと同様、共有する
ことも、デバイス グループ固有のルールにすることもできます。
Panorama からプッシュされたプレ ルールおよびポスト ルールは、管理対象ファイアウォールに
表示されますが、編集は Panorama 上でしか行えません。ローカルのファイアウォール管理者ま
たはローカル ファイアウォール コンテキストに切り替えた Panorama 管理者が、ローカル ファ
イアウォール ルールを編集できます。
6
Panorama 管理者ガイド
Panorama の概要
設定および導入の中央管理について
デフォルトのポリシーは、セキュリティ ルールベースにのみ適用されます。デフォルト ルール
interzone-default には、ファイアウォールが、別のルールに一致しないすべてのインターゾーン
（ゾーン間）トラフィックを拒否することが指定されています。デフォルト ルール iintrazone-default
には、ファイアウォールが、別のルールに一致しないすべてのイントラゾーン（ゾーン内）ト
ラフィックを許可することが指定されています。Panorama でルールをプレビューすると、デ
フォルト ルールは、他のすべてのルールの下に表示されます。デフォルト ルールは、事前定義
済みの構成設定の一部であるか、Panorama によってデバイスにプッシュされたルールであるた
め、最初は読み取り専用になっています。ただし、タグ、アクション（許可または拒否）、ロ
グ記録、およびセキュリティ プロファイルの設定はオーバーライドできます。デフォルト ルー
ルを編集（オーバーライド）できるレベルは、デバイス コンテキストによって決まります。

Panorama では、事前定義済み設定の一部であるデフォルト ルールを編集できます。デバイス
グループまたは共有コンテキストのルールを編集します。

ファイ アウォ ール上 では、事前定 義済み 設定の 一部で あるデ フォルト ルール、また は
Panorama の共有コンテキストまたはデバイス グループ コンテキストからプッシュされたデ
フォルト ルールを編集できます。デフォルト ルールは、仮想システム（vsys）固有の場合も
あります。
デフォルト ルールの優先順位は、最低レベルのコンテキストから最高レベルのコンテキストの
順になります。すなわち、ファイアウォール レベルで編集された設定は、デバイス グループ
レベルの設定をオーバーライドし、デバイス グループ レベルの設定は共有レベルの設定をオー
バーライドします。
すべてのルールの評価順序（最上位から最下位）は以下のようになります。
トラフィックがポリシー ルールに一致した場合、定義されたアクションがトリガーされ、ファ
イアウォールは後続のすべてのポリシーを無視します。ポリシーを階層化するこの機能によ
り、ローカル ポリシーがプレ ルールとポスト ルールの間に配置されるルールの階層が作成さ
れます。ローカル ポリシーは、ローカル ファイアウォール コンテキストに切り替えるか、
ファイアウォールにローカルにアクセスすることで編集できます。ファイアウォールの Web イ
ンターフェイスでは、各デバイス グループ（および管理対象ファイアウォール）についてこの
ようにルールのカスケードが視覚的に区別されるため、多数のルールを把握できます。
Panorama 管理者ガイド
7
設定および導入の中央管理について
Panorama の概要
ルール管理の詳細は、『PAN-OS 管理者ガイド』を参照してください。
オブジェクト
オブジェクトは、ポリシーで参照される設定要素です。ファイアウォール ポリシーでは、IP ア
ドレス、URL カテゴリ、セキュリティ プロファイル、ユーザー、サービス、およびアプリケー
ションなどのオブジェクトが使用されます。オブジェクトはポリシー間で再利用できるため、
共有オブジェクトまたはデバイス グループ オブジェクトを作成することで、これらの設定要素
の重複を軽減できます。たとえば、共有アドレス オブジェクトとアドレス グループまたは共有
サービス オブジェクトとサービス グループを作成すると、オブジェクトのインスタンスを 1 つ
作成してルールベースで参照し、複数のデバイス グループでファイアウォールを管理できま
す。共有オブジェクトは、1 回定義すれば何度も使用できるため、管理上の負荷を軽減できま
す。また、共有オブジェクトを使用すれば、整合性と正確性を確保できます。
プレ ルール、ポスト ルール、およびファイアウォール上のローカルに定義されたルールでは、
共有オブジェクトおよびデバイスグループ オブジェクトを使用できます。Panorama 上にオブ
ジェクトを作成する際には、次のどちらかに基づいて動作を設定します。

デバイス グループ オブジェクトと共有オブジェクトの名前が同じ場合にデバイス グループ
オブジェクトを優先するかどうか。Panorama では、デフォルトで [ 共有オブジェクトが優先
されます ] オプションが無効になっています。これにより、共有オブジェクトの値を明示的
に優先させたい場合のみ、共有オブジェクトが同名のデバイス グループ オブジェクトより
も優先されるようにできます。このオプションを有効にして、共有オブジェクトが優先させ
るようにすると、優先されなくなるすべてのデバイス グループ オブジェクトがユーザーに
通知されます。ただし、Panorama からプッシュされた共有オブジェクトまたはデバイス グ
ループ オブジェクトと同じ名前のオブジェクトがデバイスでローカルに作成されていると、
コミットに失敗します。

Panorama で定義されたすべての共有オブジェクトとデバイス グループ オブジェクトを管理対
象デバイスにプッシュするかどうか。デフォルトでは、ポリシーで参照されるオブジェクト
も参照されないオブジェクトもすべて管理対象デバイスにプッシュされます。
8
Panorama 管理者ガイド
Panorama の概要
ログとレポートの中央管理
ログとレポートの中央管理
Panorama では、すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のす
べてのトラフィックを可視化できます。また、管理対象ファイアウォールに対して行われたす
べてのポリシーおよび設定の変更に関する監査証跡も提供できます。Panorama では、ログを集
約するだけでなく、SNMP トラップ、電子メール通知、および Syslog メッセージを集約して、
外部の宛先に転送することができます。
Panorama のアプリケーション コマンド センター（ACC）には、すべての管理ファイアウォール
が統一されて 1 つのレポートとして一画面に表示され、ネットワーク トラフィックやセキュリ
ティ インシデントについて一元的に分析と調査を行い、レポートを作成することができます。
Panorama では、ログを表示したり、Panorama または管理対象ログ コレクタ（設定されている場
合）に転送されるログからレポートを生成したり、管理対象ファイアウォールに直接クエリを
発行したりできます。たとえば、Panorama（および管理対象ログ コレクタ）に保存されている
ログに基づいて、または管理対象ファイアウォールにローカルに保存されているログにアクセ
スして、管理対象ネットワーク内のトラフィック、脅威、および / またはユーザー アクティビ
ティに関するレポートを生成できます。
Panorama にログを転送するように管理対象ファイアウォールを設定しない場合、管理対象ファ
イアウォールごとにレポートの実行スケジュールを設定して、結果を Panorama に転送すること
で、ユーザー アクティビティおよびネットワーク トラフィックの統合ビューを得られます。こ
のビューでは、特定のデータおよびアクティビティへの詳細なドリルダウンを実行することは
できませんが、統一されたレポートのアプローチは提供されます。

ログ オプション

管理対象コレクタおよびコレクタ グループ

複数のログ コレクタを含むコレクタ グループに関する注意事項

一元的なレポート
ログ オプション
Panorama バーチャル アプライアンスと M-100 アプライアンスのどちらも、管理対象ファイア
ウォールから転送されたログを収集できます。さらに、これらの集約ロギングを外部のサービ
ス（Syslog サーバー電子メール サーバー、SNMP トラップ サーバー）に転送するように Panorama
を設定できます。ログ オプションは、プラットフォームごとに異なります。
Panorama 管理者ガイド
9
ログとレポートの中央管理
Panorama の概要
Panorama
プラットフォーム
ログ オプション
バーチャル アプライアンス
次の 3 つのログ オプションが用意されています。
• バーチャル アプライアンスのインストール直後から、ログ用に割り当てられ
た 10 GB の内部ストレージ領域を使用する。
• 最大で 2 TB のストレージをサポートする仮想ディスクを追加する。
• Network File System（NFS）データストアをマウントして、ログ用のストレー
ジ容量を設定する。
M-100 アプライアンス
デフォルトの出荷構成に RAID ペアを形成する 1 TB ディスクが含まれていま
す。これは、4 TB RAID ストレージに増設できます（「M-100 アプライアンス
のストレージの拡張」を参照）。M-100 アプライアンスが Panorama モードの場
合、RAID ディスクを有効にし、これらのディスクをデフォルトのログ コレク
タとして使用できます。M-100 アプライアンスがログ コレクタ モードの場合
（専用のログ コレクタ）、Panorama を使用して、この専用のログ コレクタに
ファイアウォールを割り当てることができます。複数の専用ログ コレクタ ア
プライアンスを使用するデプロイ環境では、Panorama はすべての管理対象ロ
グ コレクタにクエリを発行して、トラフィックの集約ビューおよび統一レ
ポートを生成します。単一の Panorama から始めて、ニーズの拡大に合わせて専
用のログ コレクタを段階的に追加することで、簡単にスケーリングできます。
管理対象コレクタおよびコレクタ グループ
ログ コレクタは、Panorama モードの M-100 アプライアンスにローカルであるか（デフォルトの
ログ コレクタ）、ログ コレクタ モードの M-100 アプライアンス（専用のログ コレクタ）のど
ちらかです。ログ コレクタは Panorama を使用して設定および管理するため、ログ コレクタの
ことを管理対象コレクタと呼ぶこともあります。専用のログ コレクタは、Panorama モードの
M-100 アプライアンスまたは Panorama バーチャル アプライアンスで管理できます。Panorama
Web インターフェイスを使用して専用のログ コレクタを管理するには、専用のログ コレクタを
管理対象コレクタに追加する必要があります。そうしない場合、専用ログ コレクタへの管理ア
クセスは、デフォルトの管理ユーザー（admin）アカウントを使用した CLI 経由のアクセスでの
み行うことができます。専用ログ コレクタでは、管理ユーザー アカウントを追加できません。
コレクタ グループは、単一の論理ログ収集ユニットとして動作する 1 つ以上の管理対象コレク
タです。コレクタ グループに専用のログ コレクタが含まれていると、各ログ コレクタのすべ
てのディスク間およびコレクタ グループ内のすべてのメンバー間でログが均一に分散されま
す。これにより、使用可能なストレージ領域を最大限に活用できます。ログ コレクタを管理す
るには、ログ コレクタをコレクタ グループに追加する必要があります。各 Panorama で、コレ
クタ グループあたり最大 64 個のログ コレクタを管理できます。ただし、コレクタ グループに 4
TB を超えるストレージ スペースが必要な場合を除き、コレクタ グループに配置するログ コレ
クタは 1 つのみにすることをお勧めします。詳細は、「複数のログ コレクタを含むコレクタ グ
ループに関する注意事項」を参照してください。
10
Panorama 管理者ガイド
Panorama の概要
ログとレポートの中央管理
コレクタ グループ設定で、グループ内のログ コレクタにログを送信できる管理対象ファイア
ウォールを指定します。ログ コレクタを設定し、ファイアウォールでログの転送を有効にする
と、各ファイアウォールは割り当てられたログ コレクタにログを送信します。
バージョン 5.0 の PAN-OS とバージョン 5.0 より前の PAN-OS の両方を実行しているファイア
ウォールを Panorama で管理する場合、以下の互換性の要件に注意してください。
•
PAN-OS v5.0 を実行しているデバイスのみが専用のログ コレクタにログを送信できます。
•
5.0 より前のバージョンの PAN-OS を実行しているデバイスは、Panorama バーチャル アプ
ライアンスまたは Panorama モードの M-100 アプライアンスにのみログを送信できます。
管理対象コレクタとコレクタ グループは、Panorama の分散ログ収集のデプロイ環境に不可欠で
す。分散ログ収集デプロイ環境は、スケーラビリティが高く、ログのニーズの拡大に合わせて
専用のログ コレクタを段階的に追加できます。Panorama モードの M-100 アプライアンスでは、
まずデフォルトのコレクタ グループにログを記録し、その後、専用のログ コレクタを含む 1 つ
以上のコレクタ グループを備えた専用の分散ログ収集デプロイ環境に拡張できます。
複数のログ コレクタを含むコレクタ グループに関する注意事項
コレクタ グループに配置するログ コレクタは 1 つのみにすることをお勧めしますが、必要なロ
グ保持期間内にコレクタ グループに 4 TB を超えるログ ストレージ容量が必要な場合、複数の
ログ コレクタをコレクタ グループに追加しなければならない可能性があります。たとえば、あ
る 1 つの管理対象ファイアウォールで 12 TB のログを生成する場合、コレクタ グループ内に少
なくとも 3 つのログ コレクタを追加して、これらのログを受信する必要があります。
コレクタ グループに複数のログ コレクタが含まれている場合、使用可能なストレージ スペー
スは 1 つの論理ユニットとして使用され、ログは、コレクタ グループのすべてのログ コレクタ
で均等に分散されます。ログの分散は、ログ コレクタのディスク容量（ディスク ペア数に応じ
て 1 TB ～ 4 TB）と、ログを所有してディスクに書き込むログ コレクタを動的に決定するハッ
シュ アルゴリズムに基づいて行われます。Panorama では、設定リストを使用して、管理対象
ファイアウォールにログを転送できる各ログ コレクタの優先順位を設定しますが、ログは必ず
しも設定リストで最初に指定されたログ コレクタに書き込まれるわけではありません。たとえ
ば、以下の設定リストを考えます。
管理対象
ファイアウォール
コレクタ グループで定義されているログ転送の設定リスト
FW1
L1、L2、L3
FW2
L4、L5、L6
Panorama 管理者ガイド
11
ログとレポートの中央管理
Panorama の概要
このリストを使用すると、FW1 はプライマリ ログ コレクタである L1 にログを送信しますが、
ハッシュ アルゴリズムによって、ログが L2 に書き込まれることが決定される場合がありま
す。L2 がアクセスできなくなった場合や、シャーシに障害が発生した場合でも、FW1 はプライ
マリ ログ コレクタである L1 に接続できるため、その障害は FW1 に通知されません。
コレクタ グループに 1 つのログ コレクタのみが設定されている場合、そのログ コレクタに障害
が発生すると、ファイアウォールはログを自身の HDD/SSD（使用可能なストレージ スペース
はハードウェア モデルによって異なる）に保存し、接続が復元されたらすぐに、障害が発生し
てログの転送が停止した時点からログ コレクタへのログの転送を再開します。
コレクタ グループに複数のログ コレクタがある場合、プライマリ ログ コレクタに接続できれ
ば、ファイアウォールはログを自身のローカル ストレージにバッファしません。そのため、
FW1 は L1 にログを送信し続けます。L2 は使用できないため、プライマリ ログ コレクタ L1 は、
ログを自身の HDD（10 GB のログ スペース）にバッファします。L2 が使用できない状態が続
き、L2 のために保留になっているログが 10 GB を超えると、L1 はログを続行するために古いロ
グ エントリを上書きします。このような場合、ログの損失が発生する可能性があります。この
ため、コレクタ グループ内で複数のログ コレクタを使用する場合は、以下のリスク軽減策をお
勧めします。

ログ コレクタの障害が発生した場合に迅速な置換を可能するため、オンサイト スペア（OSS）
を取得します。

ログを Panorama に転送するだけでなく、バックアップ ストレージとしての外部サービスへの転
送を有効にします。外部サービスとして、Syslog サーバー、電子メール サーバー、または SNMP
（Simple Network Management Protocol）トラップ サーバーがあります。詳細は、「Panorama への
ログ転送の有効化」を参照してください。
12
Panorama 管理者ガイド
Panorama の概要
ログとレポートの中央管理
一元的なレポート
Panorama は、すべての管理対象ファイアウォールからログを集約し、その集約データをレポー
トできます。これにより、ネットワーク インフラストラクチャ全体のアプリケーションの使
用、ユーザー アクティビティ、およびトラフィック パターンのグローバル ビューを得られま
す。ファイアウォールが Panorama に追加されるとすぐに、ネットワークを通過するすべてのト
ラフィックを ACC に表示できます。ログが有効になっている場合、ACC のログ エントリをク
リックすると、アプリケーションに関する詳細に直接アクセスできます。
Panorama では、レポートを生成する際に、ローカル Panorama データベースと管理対象リモート
ファイアウォールの 2 つのソースを使用します。Panorama データベースは、サマリー ログとい
くつかの詳細ログを保存するために割り当てられた Panorama 上のローカル ストレージを参照し
ます。分散ログ収集デプロイ環境では、Panorama データベースに、Panorama およびすべての管
理対象ログ コレクタのローカル ストレージが含まれます。Panorama では、すべての管理対象
ファイアウォールから 15 分間隔で収集された情報（トラフィック、アプリケーション、脅威）
が要約されます。ローカル Panorama データベースを使用すると応答時間が短縮されますが、ロ
グを Panorama に転送しない場合でも、Panorama はリモート ファイアウォールに直接アクセスし
て、管理対象ファイアウォールにローカルに保存されているデータのレポートを実行できます。
Panorama には、そのまま使用できる 40 以上の事前定義済みレポートが用意されています。ま
た、これらのレポートを他のレポートの要素と組み合わせてカスタマイズし、保存可能なカス
タム レポートおよびレポート グループを生成できます。レポートは、要求時や定期的なスケ
ジュールで生成できます。また、電子メール配信用にスケジュール設定することもできます。
これらのレポートには、ユーザーやコンテキストの情報が含まれているため、イベントを相関
させたり、パターン、傾向、および関心のある潜在的なエリアを識別したりできます。ログお
よびレポートへの統合的なアプローチにより、ACC は同じイベントに関連する複数のログ エン
トリを相関させることができます。
Panorama 管理者ガイド
13
Panorama のコミット操作
Panorama の概要
Panorama のコミット操作
Panorama で設定を編集するとき、実際には、候補設定ファイルを変更します。候補設定には、
実行中の設定のコピーと [保存] オプションを使用して保存した変更が含まれます。Panorama Web
インターフェイスには、すべての設定変更が即座に表示されます。ただし、変更がコミットさ
れるまで、変更は行われません。コミット プロセスは、候補設定ファイル内の変更を検証し、
Panorama に実行中の設定として保存します。
コミット オプション
内容
Panorama
現在の候補設定への変更を、Panorama で実行中の設定にコミットします。設
定更新（テンプレートまたはデバイス グループ）を管理対象ファイアウォー
ルまたはコレクタ グループにコミットする前に、まず、Panorama で変更を
コミットする必要があります。
テンプレート
選択したファイアウォールに Panorama テンプレートのネットワークおよび
デバイス設定をコミットします。
デバイス グループ
Panorama で設定したポリシーとオブジェクトを、選択したファイアウォール/
仮想システムにコミットします。
コレクタ グループ
Panorama が管理する指定したコレクタ グループに変更をコミットします。
コミットすると、Panorama により、設定全体が管理対象ファイアウォールにプッシュされま
す。コミットが完了すると、[コミットに成功しました] または [コミットに成功しましたが警告
があります] のどちらかが結果として表示されます。
他にも、以下のオプションをコミット時に選択できます。

デバイスおよびネットワーク テンプレートを含める — このオプションは、Panorama からデバ
イス グループをコミットするときに使用できます。デバイス グループとテンプレートの両
方の変更を、1 回のコミット操作で関連するファイアウォールにコミットできます。
別個のコミット操作として変更をコミットする場合は、このチェック ボックスをオフにして
ください。

テンプレートの値を適用 — テンプレートのコミットを実行する場合、[テンプレートの値を適
用] オプションを選択すると、すべてのローカル設定がオーバーライドされ、選択したファイ
アウォールまたは仮想システム上のオブジェクトのうち、テンプレートに存在しないか、
ローカル設定でオーバーライドされたオブジェクトが削除されます。このオーバーライドに
より、管理対象ファイアウォール上の既存の設定すべてが元に戻り、ファイアウォールはテ
ンプレートで定義されている設定のみを継承するようになります。

候補設定とのマージ — このオプションを有効にすると、Panorama の設定変更を、ターゲット
ファイアウォール上にローカルで実行された保留中の設定変更とマージしてコミットできま
す。このオプションが無効な場合、ファイアウォール上の候補設定はコミット操作から除外
されます。ファイアウォール管理者にファイアウォール上で直接、設定を変更することを許
可していて、Panorama から変更をコミットするときにそれらの変更を含めない場合は、ベス
ト プラクティスとしてこのオプションを無効のままにしておきます。もう 1 つのベスト プラ
クティスとして、Panorama の設定監査機能を使用して、ローカルに定義された設定変更をレ
ビューしてから、Panorama でコミットを発行する方法があります（「Panorama の各設定ファ
イル間の変更点の比較」を参照）。
14
Panorama 管理者ガイド
Panorama の概要
ロールベースのアクセス制御
ロールベースのアクセス制御
ロールベースのアクセス制御（RBAC）では、各管理ユーザーに付与される権限および役割を指
定できます。Panorama では、特定のロール、プロファイルまたはアクセス ドメインを使用して管
理アカウントを定義し、Panorama や管理対象ファイアウォールの特定の機能へのアクセスを制
御できます。これらのオプションにより、各管理者が作業を行うために必要なファイアウォー
ルおよび管理インターフェイスのエリアのみに管理アクセスを制限できます。デフォルトで
は、すべての Panorama サーバーにデフォルトの管理アカウント（admin）が事前設定されてい
ます。このアカウントには、読み取りと書き込みのフル アクセス権（スーパーユーザー アクセ
ス権としても知られる）が付与されています。ベスト プラクティスとして、Panorama の管理機
能またはレポート機能に対するアクセス権を必要とするユーザーごとに別個の管理アカウント
を作成するようお勧めします。これにより、無権限での設定（または変更）から保護する能力
を高め、各管理者のアクションをログに記録することができます。
ユーザー アクセス認証情報の検証方法を決定する認証プロファイルをすべての管理ユーザーに
定義することもできます。より詳細な管理アクセスを適用するには、アクセス ドメインを使用
して、特定のファイアウォール、デバイス グループ、またはテンプレートへの管理アクセスを
制限します。

管理ロール

認証プロファイルと認証シーケンス

アクセス ドメイン

管理認証
管理ロール
管理者アカウントの設定方法は、組織内でのセキュリティ要件、組織に統合できる既存の認証
サービスがあるかどうか、および組織に必要な管理ロールに応じて異なります。ロールによ
り、管理者に付与されるシステムに対するアクセス権のタイプを定義します。以下のロール タ
イプがあります。

ダイナミック ロール — Panorama および管理対象デバイスへのアクセス権を付与する組み込み
のロール。新しい機能が追加されると、Panorama によってダイナミック ロールの定義が自
動的に更新されます。ユーザーが手動で更新する必要はありません。次の表に、ダイナミッ
ク ロールに関連付けられたアクセス権限の一覧を示します。
ダイナミック ロール
権限
スーパーユーザー
Panorama に対する読み取り / 書き込みのフル アクセス権
スーパーユーザー
（読み取り専用）
Panorama に対する読み取り専用アクセス権
Panorama 管理者ガイド
15
ロールベースのアクセス制御
Panorama の概要
ダイナミック ロール
権限
Panorama 管理者
Panorama に対するフル アクセス権。ただし、以下のアクションを除きます。
• Panorama またはデバイスの管理者およびロールを作成、変更、削除する。
• [Device] > [ セットアップ ] > [ 操作 ] ページから設定をエクスポート、検証、
保存、ロード、インポートする、または設定を元に戻す操作を実行する。
• [Panorama] タブで、[スケジュール設定された設定のエクスポート] 機能を設
定する。

管理ロール プロファイル — Web インターフェイス、CLI、または XML API のさまざまな機能
エリアへのアクセスをよりきめ細かく制御するには、カスタム ロールを作成します。製品に
新しい機能が追加された場合は、各ロールを対応するアクセス権で更新する必要がありま
す。Panorama では、新しい機能をカスタム ロール定義に自動的に追加することはありませ
ん。カスタム ロールを作成するときに（「Panorama への管理アクセスのセットアップ」を
参照）、次のいずれかのプロファイルを選択します。
管理者ロール プロファイル 内容
Panorama
このロールでは、スーパーユーザー ダイナミック ロールで使用可能なすべて
の Panorama 機能（ただし、Panorama 管理者および Panorama ロールの管理を除
く）に対して、読み書きアクセス権または読み取り専用アクセス権を付与で
きます。また、これらの機能に対するアクセス権を一切与えない（アクセス
権なし）ようにすることもできます。Panorama 管理者および Panorama ロール
の管理機能については、読み取り専用アクセス権を付与するか、アクセス権
なしにすることはできますが、読み書きアクセス権を付与することはできま
せん。
Panorama ロールは、たとえば、Panorama のセキュリティ ポリシー定義、ログ、
レポートにアクセスする必要があるセキュリティ管理者に割り当てます。
デバイス グループと
テンプレート
このロールでは、管理者アカウント定義に指定されたデバイス グループとテ
ンプレートに対して、読み書きアクセス権または読み取り専用アクセス権を
付与できます。またはアクセス権を一切与えないようにすることも可能で
す。このプロファイルを使用したロールには、以下の制約があります。
• CLI または XML API に対するアクセス権は付与されない
• 設定またはシステム ログに対するアクセス権は付与されない
• アプリケーション スコープまたはレポートに対するアクセス権は付与され
ない
• VM 情報ソースに対するアクセス権は付与されない
• [Panorama] タブでは、デバイス デプロイ機能（読み書き、読み取り専用、
アクセス権なし）、およびテンプレート、管理対象デバイス、および管理
者アカウントに指定されたデバイス グループ（読み取り専用またはアクセ
ス権なし）に対するアクセスのみに制限されます。
このロールは、たとえば、特定のデバイス グループおよび（または）テンプ
レート用の Web インターフェイスのデバイスおよびネットワーク設定エリア
にアクセスする必要のある操作担当の管理者に割り当てます。
16
Panorama 管理者ガイド
Panorama の概要
ロールベースのアクセス制御
認証プロファイルと認証シーケンス
認証プロファイルを使用して、管理ユーザーがログイン時に Panorama でどのように認証されるの
かを定義します（認証プロファイルには他の用途もあります）。Panorama にローカル ユーザー
アカウントを作成する場合、ローカル データベースに対してユーザーを認証できます。また、
外部の RADIUS、LDAP、または Kerberos サーバーを使用して認証することもできます。ローカ
ル ユーザー アカウントを作成せずに、外部認証方式を使用してアカウントと認証の両方を管理
する場合、RADIUS を使用する必要があります。プロセスの概要は、「アカウント認証での
RADIUS ベンダー固有属性の使用」を参照してください。
複数の認証方法（ローカル、RADIUS、LDAP、および / または Kerberos）に対して認証するに
は、認証シーケンスを定義します。認証シーケンスは、管理ユーザーを照合する認証プロファ
イルのランク付けされた順序です。Panorama は、ユーザーが正常に認証されるまで、最初に
ローカル データベース、次に各プロファイルを順番にチェックしていきます。ユーザーは、認
証シーケンスに定義されたすべてのプロファイルで認証が失敗した場合にのみ、Panorama への
アクセスが拒否されます。
認証プロファイルおよび認証シーケンスを作成する方法は、「認証プロファイルの作成」および
「認証シーケンスの定義」を参照してください。
アクセス ドメイン
アクセス ドメインでは、管理ユーザーに付与される機能と許可を定義することで、管理ユー
ザーによるコンテキストの切り替えや管理対象ファイアウォールのユーザー インターフェイス
機能へのアクセスを詳細に制御できます。また、アクセス ドメインでは、Panorama で作成され
たデバイス グループおよび / またはテンプレートのサブセットへのアクセスを制限することも
できます。そのため、ユーザーによるファイアウォールの設定および管理を制限できます。
アクセス ドメインは RADIUS ベンダー固有属性（VSA）にリンクされており、管理者の認証に
RADIUS サーバーが使用されている場合にのみ、使用することができます。RADIUS が使用さ
れていない場合、アクセス ドメイン設定は無視されます。アクセス ドメインの定義の詳細は、
「アクセス ドメインの定義」を参照してください。
Panorama 管理者ガイド
17
ロールベースのアクセス制御
Panorama の概要
管理認証
管理ユーザーは以下の 4 つの方法で認証できます。

ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がファイアウォールに対してローカルで行われます。ローカル管理者アカウントの安全性
を高めるには、パスワードの有効期間を定義するパスワード プロファイルを作成したり、
ファイアウォール全体でのパスワードの複雑性設定を行ったりします。詳細は、「管理アカ
ウントの作成」を参照してください。

証明書またはキーに基づいた認証によるローカル管理者アカウント — このオプションでは、
管理者アカウントはファイアウォールに対してローカルで行われますが、認証は SSH キー
（CLI アクセスの場合）またはクライアント証明書 / 共通アクセス カード（Web インター
フェイスの場合）に基づいて処理されます。このタイプの管理アクセスを設定する方法の詳
細は、「Web インターフェイスのための証明書に基づいた認証の有効化」および「CLI での
SSH キーに基づいた認証の有効化」を参照してください。

外部認証によるローカル管理者アカウント — この管理者アカウントはローカル ファイアウォー
ルで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サービス
に割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへのア
クセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管理者
ごとにアカウントを作成する必要があります。詳細は、「認証プロファイルの作成」を参照
してください。

外部管理者アカウントと認証 — アカウント管理者と認証は、外部 RADIUS サーバーによって
処理されます。このオプションを使用するには、管理者ロールにマッピングする RADIUS
サーバーでベンダー固有属性（VSA）を定義する必要があります。プロセスの概要は、「ア
カウント認証での RADIUS ベンダー固有属性の使用」を参照してください。このタイプの管
理アクセスを設定する方法の詳細は、「Radius Vendor Specific Attributes（VSA）」の記事を参
照してください。
18
Panorama 管理者ガイド
Panorama の概要
推奨される Panorama の導入
推奨される Panorama の導入
Panorama のデプロイ環境は、ブラウザベースのインターフェイスを備えた Panorama 管理サー
バー、ログ コレクタ（任意）、および管理対象 Palo Alto Networks ファイアウォールで構成され
ます。推奨されるデプロイ環境は以下のとおりです。

中央管理およびレポートのための Panorama

分散ログ収集デプロイ環境における Panorama
最も典型的なログ収集デプロイ環境の設定手順については、「ログ収集デプロイ環境」を参照
してください。
中央管理およびレポートのための Panorama
以下の図に、Panorama バーチャル アプライアンスまたは M-100 アプライアンスを冗長構成でデ
プロイする方法を示します。この構成には、以下の利点があります。

中央管理 — 最大 1000 台のファイアウォールを迅速に導入および管理できるポリシーとデバ
イスの中央管理。

可視化 — ユーザーが生成したトラフィックおよび潜在的な脅威を分析してレポートできる一
元的なログとレポート。

ロールベースのアクセス制御 — 適切なレベル（ファイアウォール レベルまたはグローバル レ
ベル）の管理制御。
Panorama 管理者ガイド
19
推奨される Panorama の導入
Panorama の概要
分散ログ収集デプロイ環境における Panorama
ハードウェアベースの Panorama（M-100 アプライアンス）は、管理機能とログ収集機能を実行す
る Panorama 管理サーバー、またはネットワーク上のファイアウォールの包括的なログ収集ソ
リューションを提供する専用のログ コレクタとしてデプロイできます。ログ コレクタとして
M-100 アプライアンスを使用すると、ログ収集プロセスの負荷が専用アプライアンスに割り振
られる堅牢な環境が実現します。分散ログ収集（DLC）デプロイ環境で専用アプライアンスを
使用することで、冗長性、高いスケーラビリティ、ログを長期保管できる容量を得られます。
DLC デプロイ環境では、Panorama 管理サーバー（Panorama バーチャル アプライアンスまたは
Panorama モードの M-100）がファイアウォールおよびログ コレクタを管理します。Panorama を
使用すると、ログを 1 つ以上のログ コレクタに送信するようにファイアウォールが設定されま
す。次に、Panorama でログ コレクタにクエリして、ネットワーク トラフィックの集約ビューを
得られます。DLC 設定の場合、高可用性（HA）ペアのプライマリおよびセカンダリ Panorama
ピアから、ログ コレクタに保存されたログにアクセスできます。
以下のトポロジでは、HA 構成の Panorama ピアで、PAN-OS 4.x、5.x、または 6.x を実行している
ファイアウォールのデプロイおよび設定を管理します。このソリューションには、以下の利点
があります。

Panorama の管理機能のパフォーマンスが向上する

専用ハードウェア アプライアンスで大量のログ ストレージを確保できる

RAID 1 ストレージで水平スケーラビリティと冗長性を得られる
20
Panorama 管理者ガイド
Panorama の概要
導入計画
導入計画

管理アプローチを決定します。Panorama を使用して、ポリシーを一元的に設定および管理し
たり、ソフトウェア、コンテンツ、ライセンス更新を一元管理したり、ネットワーク上の
管理対象デバイスのログおよびレポートを一元的に行ったりしますか ?
ネットワーク上にすでに Palo Alto Networks ファイアウォールを導入および設定している場
合、デバイスを中央管理に移行するかどうかを決定します。このプロセスでは、すべての
設定およびポリシーをファイアウォールから Panorama に移行する必要があります。詳細
は、「ファイアウォールから Panorama 管理への移行」を参照してください。

Panorama のリリースとバージョンが、管理対象ファイアウォールと同じかそれ以降であるこ
とを確認します。たとえば、Panorama 4.0 は、PAN-OS 5.0 を実行しているファイアウォール
を管理できません。同じリリース内のバージョンの場合、Panorama は自分のバージョン以
降の PAN-OS を実行しているファイアウォールを管理できますが、Panorama では、ファイ
アウォールと同じかそれ以降のバージョンを実行することをお勧めします。たとえば、
Panorama で 6.0.3 を実行している場合は、すべての管理対象ファイアウォールで、PAN-OS 6.0.3
以前のバージョンを実行することをお勧めします。

すべての管理対象ファイアウォールで同じ URL フィルタリング データベース（BrightCloud ま
たは PAN-DB）を使用するように計画します。BrightCloud データベースを使用しているファ
イアウォールと、PAN-DB を使用しているファイアウォールがある場合、Panorama では、
いずれかの URL フィルタリング データベースのセキュリティ ポリシーのみを管理できま
す。他のデータベースの URL フィルタリング ルールは、そのデータベースを使用している
ファイアウォールでローカルに管理する必要があります。

Panorama を高可用性設定で使用するように計画します。アクティブ / パッシブ高可用性ペア
として設定します。「Panorama の高可用性」を参照してください。

セキュリティおよびコンプライアンス要件を満たすためにネットワークに必要なログ ストレー
ジ容量を見積もります。ネットワーク トポロジ、ログを送信するファイアウォール数、ロ
グ トラフィックのタイプ（たとえば、URL、脅威ログかトラフィック ログかなど）、ログの
生成レート、Panorama にログを保存する日数などの要因を考慮する必要があります。詳細は、
「ファイアウォールでのログ レートの測定」および「Panorama ロギングに関する提案」の記
事を参照してください。

ネットワーク アクティビティに関する有益なレポートを得られるように、ログ ソリューショ
ンを計画します。
–
Panorama の他に Syslog サーバーにもログを転送する必要がありますか ?
–
長期保管ソリューションが必要な場合、ログを転送する必要のある Splunk や ArcSight な
どのセキュリティ情報およびイベント管理（SIEM）ソリューションがありますか ?
–
ログに冗長性が必要ですか ? HA の Panorama バーチャル アプライアンスを使用すれば、
各ピアでその仮想ディスクにログを記録できます。管理対象デバイスから HA ペアの両
方のピアにログを送信できます。このオプションでは、ログの冗長性を確保でき、2 TB
のログ ストレージ容量に対応するのに最適です。
Panorama 管理者ガイド
21
導入計画
–
Panorama の概要
ネットワーク ファイル システム（NFS）にログを記録しますか ? NFS をサポートしてい
るのは Panorama バーチャル アプライアンスだけです。2 TB を超えるログ ストレージ容
量が必要な場合、NFS を使用することを検討してください。NFS を使用する場合、管理
対象デバイスは HA ペアのプライマリ ピアにのみログを送信できます。また、NFS にマ
ウントして NFS に書き込むことができるのは、アクティブ-プライマリ Panorama だけです。

ロギング ソリューションに M-100 アプライアンスが含まれている場合、デフォルトで、設
定、ログ収集、およびコレクタ グループ通信に管理（MGT）インターフェイスが使用され
ます。ただし、ログ収集とコレクタ グループ通信には Ethernet 1 または Ethernet 2 インター
フェイスを使用して、セキュリティ、トラフィック優先度制御、パフォーマンス、スケー
ラビリティを高めるのがベスト プラクティスです。これらの機能に異なるインターフェイ
スを使用することに利点があるかどうかを判断してください。詳細は、「M-100 アプライア
ンスのセットアップ」を参照してください。

管理者が、管理対象ファイアウォールおよび Panorama にアクセスするために必要な権限、ロー
ル、許可情報を決定します。「Panorama への管理アクセスのセットアップ」を参照してく
ださい。

必要なデバイス グループを計画します。これを行うには、ファイアウォールをグループ化す
るときの基準として、機能、セキュリティ ポリシー、地理的な場所、ネットワーク セグメ
ンテーションのどれを使用するのかを決定します。たとえば、機能ベースのデバイスグ
ループの例として、研究開発チームが使用するすべてのファイアウォールを含むグループ
が考えられます。また、ファイアウォールが実行する機能によってファイアウォールをグ
ループ化することもできます（ゲートウェイ ファイアウォール、支社ファイアウォール、
データセンター ファイアウォールなど）。

ポリシー管理の階層化方法を計画します。ポリシーの継承や評価の方法、およびネット
ワークのニーズに合った共有ルール、デバイス グループ ルール、デバイス固有のルールの
最適な実装方法をよく考えます。

22
–
ポリシーの可視化および中央管理を実現するために、共有 / デバイス グループ ポリシー
に対するデバイス固有の例外を作成する場合でも、Panorama を使用してポリシーを管理
することを検討してください。デバイス グループ内の一部のデバイスにルールを適用す
るには、ルールのターゲットとして特定のデバイスを指定します。「ファイアウォール
のサブセットへのポリシーのプッシュ」を参照してください。
–
共通点に基づいて小さなデバイス グループを作成するのか、スケーリングしやすいよう
に大きなデバイス グループを作成するのかを検討してください。「ユース ケース :
Panorama を使用したファイアウォールの設定」を参照してください。
（テンプレートを使用した）設定の継承または適用方法についてデバイスの編成を計画し
ます。たとえば、ハードウェア プラットフォーム、地理的な近接性、およびタイム ゾー
ン、DNS サーバー、インターフェイス設定の類似するネットワーク セットアップ ニーズに
基づいてデバイスをテンプレートに割り当てる方法についてよく考えます。「ユース ケー
ス : Panorama を使用したファイアウォールの設定」を参照してください。
Panorama 管理者ガイド
Panorama の概要
Panorama の導入 : タスク概要
Panorama の導入 : タスク概要
以下のタスク リストに、Panorama を導入する手順の概要を示します。Panorama による一元管理の
例については、「ユース ケース : Panorama を使用したファイアウォールの設定」を参照してく
ださい。
Panorama のデプロイ : タスク概要
1.
（M-100 アプライアンスのみ）アプライアンスをラックマウントします。『M-100 ハードウェア リ
ファレンス ガイド』を参照してください。
2.
初期設定を実行して、Panorama へのネットワーク アクセスを有効にします。「Panorama バーチャル
アプライアンスのセットアップ」または「M-100 アプライアンスのセットアップ」を参照してくだ
さい。
3.
Panorama の登録とライセンスのインストール。
4.
コンテンツ更新および、Panorama ソフトウェア更新のインストール。
5.
管理対象デバイスとしてのファイアウォールの追加。
6.
デバイス グループの追加してテンプレートの追加。
7.
（任意）Panorama および（または）外部サービスへのログの転送を設定します。「ログ収集の管理」
を参照してください。
8.
Panorama の可視化およびレポート ツールを使用して、ネットワーク アクティビティをモニターし
ます。「ACC およびアプリケーション スコープを使用したネットワークのモニタリング」および
「レポートの生成、スケジュール設定、および電子メール送信」を参照してください。
9.
（任意 / 推奨）高可用性設定で Panorama をセットアップします。「Panorama の高可用性」を参照し
てください。
Panorama 管理者ガイド
23
Panorama の導入 : タスク概要
24
Panorama の概要
Panorama 管理者ガイド
Panorama のセットアップ
ネットワーク上のすべてのファイアウォールでレポートの中央管理や包括的なポリシー管理を
行うため、Panorama をバーチャル アプライアンスまたはハードウェア アプライアンス（M-100
アプライアンス）として導入できます。
以下のトピックでは、ネットワークでの Panorama のセットアップ方法について説明します。

Panorama バーチャル アプライアンスのセットアップ

M-100 アプライアンスのセットアップ

Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行

Panorama の登録とライセンスのインストール

コンテンツ更新および、Panorama ソフトウェア更新のインストール

Panorama 管理インターフェイスへのアクセスおよびナビゲート

Panorama への管理アクセスのセットアップ
Panorama 管理者ガイド
25
Panorama バーチャル アプライアンスのセットアップ
Panorama のセットアップ
Panorama バーチャル アプライアンスのセットアップ
Panorama バーチャル アプライアンスでは、Panorama の管理やロギング機能が 1 つのバーチャル
アプライアンスに統合されます。このソリューションでは、以下のセクションに記載されてい
るように、既存の VMware 仮想インフラストラクチャを使用して、ネットワークでの Palo Alto
Networks ファイアウォールの導入、中央管理、モニタリングを簡単に行うことができます。

Panorama バーチャル アプライアンスのセットアップ前提条件

ESX(i) サーバーでの Panorama のインストール

Panorama バーチャル アプライアンスの初期設定の実行

Panorama バーチャル アプライアンスでのログ ストレージ容量の拡張

Panorama バーチャル アプライアンスのセットアップの完了
Panorama バーチャル アプライアンスを専用ログ コレクタとして使用することはできません。
専用ログ収集機能があるのは、ログ コレクタ モードの M-100 アプライアンスのみです
（「M-100 アプライアンスのセットアップ」を参照）。ただし、Panorama バーチャル アプラ
イアンスを使用して専用ログ コレクタを管理することができます。
Panorama バーチャル アプライアンスのセットアップ前提条件
Panorama バーチャル アプライアンスを効率よくセットアップするには、まず以下のタスクを完
了してください。

システムが Panorama をインストールするための最小システム要件を満たしていることを確
認します。以下の要件は、Panorama 5.1 以降のリリースに適用されます。
Panorama バーチャル アプライアンスの前提条件
• 64 ビット カーネルベースの VMware ESX(i) 4.1 以降
• 以下のガイドラインに従って、CPU とメモリを割り当てます。
– 管理対象ファイアウォールが 10 未満の場合 : 4 コアおよび 4 GB
– 管理対象ファイアウォールが 10 ～ 50 の場合 : 8 コアおよび 8 GB
– 管理対象ファイアウォールが 50 より多い場合 : 8 コアおよび 16 GB
• 40 GB のディスク領域
ディスク領域を追加しても、Panorama でのログ ストレージ容量は増えません。ログ容量を拡張する
には、仮想ディスクを追加するか、NFS データストアへのアクセスを設定する必要があります。
「Panorama バーチャル アプライアンスでのログ ストレージ容量の拡張」を参照してください。
• ESX(i) サーバーと互換性のある VMware vSphere クライアント または VMware インフラストラク
チャ クライアントが搭載されたクライアント コンピュータ。
このドキュメントでは、VMware の概念および用語については記載していません。このガイド
では、バーチャル アプライアンスの作成に必要な VMware 製品スイートに精通していること
が前提となります。
26
Panorama 管理者ガイド
Panorama のセットアップ

Panorama バーチャル アプライアンスのセットアップ
サポート サイト（https://support.paloaltonetworks.com）で Panorama シリアル番号を登録します
（「Panorama の登録」を参照）。シリアル番号は、電子メールで送信されます。サポート
サイトにシリアル番号を登録すると、Panorama ソフトウェアのダウンロード ページにアク
セスできます。
ESX(i) サーバーでの Panorama のインストール
新しい Panorama バーチャル アプライアンスをインストールするには、以下の手順を使用します。
既存の Panorama バーチャル アプライアンスからアップグレードしている場合は、「コンテンツ更
新および、Panorama ソフトウェア更新のインストール」に進んでください。
ESX(i) サーバーでの Panorama のインストール
ステップ 1
Panorama をインストールする 1.
サ ー バ ー に、Panorama 基 本 イ
メ ー ジ zip フ ァ イ ル を ダ ウ ン 2.
ロードし、解凍します。
バーチャル アプライアンスの
インストールでは、Open Virtual
Machine Format（OVF）テ ン プ
レート ファイルを使用します。
このファイルは基本イメージ
に含まれています。
ステップ 2
ESX(i) サーバーにアクセスし
ます。
Panorama 管理者ガイド
https://support.paloaltonetworks.com に移動し、Panorama
基本イメージ zip ファイルをダウンロードします。
Panorama 基本イメージ zip ファイルを解凍し、
panorama-esx.ovf ファイルを抽出します。
この .ovf テンプレート ファイルは、Panorama のインス
トールに必要です。
VMware vSphere クライアントを起動し、VMware サーバー
に接続します。
27
Panorama バーチャル アプライアンスのセットアップ
Panorama のセットアップ
ESX(i) サーバーでの Panorama のインストール（続き）
ステップ 3
1.
[ファイル] > [OVF テンプレートのデプロイ] の順に選
択します。
Panorama 5.1 以降では、Panorama 2.
バーチャル アプライアンスは
64 ビットの仮想マシンとして
3.
インストールされます。
先ほど解凍した Panorama 基本イメージから
panorama-esx.ovf ファイルを参照して選択し、[次へ] を
クリックします。
4.
Panorama バーチャル アプライアンスの分かりやすい
名前を入力し、[次へ] をクリックします。
5.
Panorama イメージをインストールするデータストアの
場所を選択し、[次へ] をクリックします。
Panorama をインストールし
ます。
製品の名前と説明がダウンロードしたバージョンと一
致していることを確認し、[次へ] をクリックします。
ディスク領域を追加しても、Panorama でのログ ストレー
ジ容量は増えません。ログ容量を拡張するには、仮想
ディスクを追加するか、NFS データストアへのアクセ
スを設定する必要があります。「Panorama バーチャル
アプライアンスでのログ ストレージ容量の拡張」を参
照してください。
6.
ディスク フォーマットに [Thick Provision Lazy Zeroed]
を選択し、[次へ] をクリックします。
7.
Panorama バーチャル アプライアンスに使用する必要
があるネットワークをインベントリで指定します。
8.
選択したオプションを確認し、[終了] をクリックして、
インストールを開始します。
9.
インストールが完了したら、Panorama バーチャル アプ
ライアンスを選択し、[ 設定の編集 ...] をクリックして
以下の設定を定義します。
a. 適度な量のメモリ（少なくとも 4 GB）が割り当てら
れていることを確認します。
b. [ゲスト オペレーティング システム] に [Linux] を
選択し、[バージョン] に [その他の Linux（64 ビッ
ト）] を選択します。
c. SCSI コントローラとして [LSI Logic パラレル] を選
択します。
ステップ 4
Panorama バーチャル アプライ [パワーオン] ボタンをクリックします。
アンスをパワーオンします。 Panorama バーチャル アプライアンスが起動し、インス
トールが完了します。
「Panorama バーチャル アプライアンスの初期設定の実行」に進みます。
28
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスのセットアップ
Panorama バーチャル アプライアンスの初期設定の実行
Panorama バーチャル アプライアンスへのネットワーク アクセスを設定するには、ESX(i) サー
バーで Panorama バーチャル アプライアンス コンソールを使用します。初期設定を完了するに
は、まず管理インターフェイスを設定してから、Panorama Web インターフェイスにアクセスし
て、Panorama バーチャル アプライアンスのタイム ゾーンを定義する必要があります。統合され
たレポート作成を行うには、すべての管理対象デバイスと Panorama でタイム ゾーンに同じ
GMT または UTC を使用することを考慮してください。
.
Panorama バーチャル アプライアンスの管理インターフェイスの設定
ステップ 1
ネットワーク管理者から必要 • MGT ポートの IP アドレス
な情報を入手します。
• ネットマスク
• デフォルトのゲートウェイ
• DNS サーバー IP アドレス
ステップ 2
ステップ 3
ステップ 4
ステップ 5
Panorama バーチャル アプライ 1.
アンスのコンソールにアクセ
スします。
仮想 Panorama の ESX(i) サーバーで、[ コンソール ] タ
ブを選択します。Enter キーを押して、ログイン画面
にアクセスします。
2.
デフォルトのユーザー名 / パスワード（admin/admin）
を入力して、ログインします。
3.
設定モードに切り替えるには、「configure」と入力
します。
以下のコマンドを入力します。
管理インターフェイスへの
ネットワーク アクセス設定を
行います。
set deviceconfig system ip-address <Panorama-IP>
netmask <netmask> default-gateway <gateway-IP>
dns-setting servers primary <DNS-IP>
管理インターフェイスは、管
理トラフィック、HA 接続の同
期、ログ収集、コレクタ グルー
プ内での通信に使用されます。
<Panorama-IP> は Panorama 管理インターフェイスに割り当
てる IP アドレス、<netmask> はサブネット マスク、
<gateway-IP> はネットワーク ゲートウェイの IP アドレス、
<DNS-IP> は DNS サーバーの IP アドレスです。
変更をコミットし、設定モー 1.
ドを終了します。
2.
Palo Alto Networks 更新サーバー
など、ファイアウォール管理
に必要な外部サービスへの
ネットワーク アクセスを確認
します。
「commit」と入力します。
「exit」と入力します。
Panorama から外部ネットワーク アクセスが可能であるこ
とを確認するには、ping ユーティリティを使用します。以
下 の例に示すように、デフォルト ゲートウェイ、DNS
サーバー、および Palo Alto Networks 更新サーバーへの接続
を確認します。
admin@Panorama-Corp> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms
接続を確認したら、Ctrl+C キーを押して ping を停止
します。
Panorama 管理者ガイド
29
Panorama バーチャル アプライアンスのセットアップ
Panorama のセットアップ
Panorama バーチャル アプライアンスのシリアル番号とタイム ゾーンの設定
ステップ 1
Panorama Web インターフェイス Web ブラウザから安全な接続（https）を使用し、管理イン
にログインします。
ターフェイスに割り当てられた IP アドレスとパスワード
を使用してログインします（https://<IP address>）。
ステップ 2
（任意）管理インターフェイス 1.
設定を変更します。
[Panorama] > [セットアップ] > [管理] の順に選択し、
[管理インターフェイス設定] を編集します。
2.
インターフェイスで許可する管理サービスを選択しま
す。たとえば、SSH アクセスを有効にするには、[SSH]
を選択します。ベスト プラクティスとして、Telnet と
HTTP が選択されていないことを確認します。これ
は、これらのサービスでは平文が使用され、他のサー
ビスほど安全ではないからです。
3.
[OK] をクリックします。[コミット] をクリックし、[タ
イプ] に [Panorama] を選択して、[OK] をクリックします。
1.
[Panorama ] > [セットアップ] > [管理] の順に選択し、
[一般設定] を編集します。
2.
Panorama と管理対象ファイアウォールのクロックを、
同じタイム ゾーン（GMT または UTC など）を使用す
るように合わせます。
ステップ 3
一般設定の設定を行います。
Panorama でログが受信されたり、ファイアウォールで
ログが収集されると、タイムスタンプが記録されま
す。Panorama と管理対象ファイアウォールの両方でタ
イム ゾーンを合わせることにより、タイムスタンプが
確実に同期され、Panorama でのログのクエリとレポー
トの生成プロセスで調和が保たれるようにします。
ステップ 4
3.
サーバーの [ホスト名] を入力し、ネットワークの [ドメ
イン名] を入力します。ドメイン名はラベルにすぎず、
ドメインに参加するために使用されることはありま
せん。
4.
[経度] と [緯度] を入力し、そのサーバーが世界地図上
の正確な場所に配置されるようにします。
5.
[シリアル番号] を入力します。この番号は、受注完了
電子メールで送信済みです。
6.
[OK] をクリックします。
デフォルトの管理パスワード 1.
を変更します。
管理インターフェイスを
安全に保つには、[ パス 2.
ワード複雑性設定 ] を適
用 し、管 理 者 が パ ス
ワ ー ド を 変 更 す る 必 要 3.
がある間隔を定義する
ことを考慮します。
30
管理コンソールの左下にある [管理者] リンクをクリッ
クします。管理者のパスワードを変更するダイアログ
が表示されます。
[ 現在のパスワード ] と [ 新しいパスワード ] を適切な
フィールドに入力し、新しいパスワードを安全な場所
に保管します。
[OK] をクリックします。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスのセットアップ
Panorama バーチャル アプライアンスのシリアル番号とタイム ゾーンの設定（続き）
ステップ 5
設定の変更を保存します。
[コミット] をクリックし、[コミット タイプ] で [Panorama]
を選択して、[OK] をクリックします。
Panorama バーチャル アプライアンスでのログ ストレージ容量の拡張
デフォルトの Panorama バーチャル アプライアンスには、すべてのデータ用に 1 つのディスク パー
ティションがあります。このパーティションには、10.89 GB のログ ストレージが割り当てられ
ます。以下のトピックでは、ログ レートに基づいて必要なログのストレージ容量を見積もり、
容量を拡張する方法を説明します。さらに 40 GB ～ 2 TB のディスク領域が必要な場合は、仮想
ディスクを追加します。2 TB を超えるディスク領域が必要な場合は、NFS データストアを使用
します。

ファイアウォールでのログ レートの測定

Panorama バーチャル アプライアンスへの仮想ディスクの追加

NFS データストアへの Panorama バーチャル アプライアンスのマウント
ファイアウォールでのログ レートの測定
ファイアウォールごとに通常およびピーク時のログ生成率を概算するには、日中の異なる時点
で以下の手順を使用します。ファイアウォールでログに必要なストレージ量を正確に見積もる
には、ファイアウォールのログ レートに加えて、他のいくつかの要因を考慮する必要がありま
す。詳細は、「Panorama ロギングに関する提案」の記事を参照してください。
ファイアウォールでのログ レートの測定
ステップ 1
Palo Alto Networks ファイアウォール 「Panorama CLI へのログイン」を参照してください。
ごとに、CLI へアクセスします。 ファイアウォールの CLI へのアクセス プロセスは、
Panorama の場合と同じです。
ステップ 2
現在のログ生成率を表示します。 以下の CLI コマンドを入力して、ファイアウォールで
のログ レートを測定します。
debug log-receiver statistics
Logging statistics
------------------------------ -------Log incoming rate:
246/sec
Log written rate:
246/sec
Panorama 管理者ガイド
31
Panorama バーチャル アプライアンスのセットアップ
Panorama のセットアップ
Panorama バーチャル アプライアンスへの仮想ディスクの追加
Panorama バーチャル アプライアンスには、デフォルトで 34 GB の仮想ディスクが割り当てられて
おり、そのうちの 10.89 GB はロギングに使用されます。ログ ストレージの容量を増やすには、
以下の手順を実行して、40 GB ～ 2 TB のストレージ容量をサポートすることができる新しい仮
想ディスクを作成します。
Panorama バーチャル アプライアンスで使用できる仮想ディスクは 1 つのみです。仮想ディス
クを使用するように設定すると、デフォルトの 10 GB の内部ストレージはバーチャル アプラ
イアンスでロギング用に使用されません。このため、仮想ディスクへの接続が失われると、障
害期間中のログが損失する可能性があります。
冗長性を許可するには、RAID 設定の仮想ディスクを使用します。RAID10 では、ロギングを
大量に行うアプリケーションで最適な書き込みパフォーマンスが得られます。
Panorama バーチャル アプライアンスへの仮想ディスクの追加
ステップ 1
Panorama バーチャル アプライア
ンスをパワーオフします。
ステップ 2
ESX(i) サーバーで、仮想ディス 1.
クを Panorama バーチャル アプ
ライアンスに追加します。
2.
ESX(i) サーバーで、Panorama バーチャル アプライアン
スを選択します。
3.
[追加] をクリックして [ハードウェア追加] ウィザード
を起動し、プロンプトが表示されたら以下のオプショ
ンを選択します。
[設定の編集] をクリックします。
a. ハードウェア タイプに [ハード ディスク] を選択し
ます。
b. [新規仮想ディスクを作成] を選択します。
c. 仮想ディスク タイプに [SCSI] を選択します。
d. [シック プロビジョニング] ディスク フォーマットを
選択します。
e. 場所フィールドで、[仮想マシン オプションを使用し
て保存 ] を選択します。データストアは ESX(i) サー
バーに存在している必要はありません。
f. 設定が正しいことを確認し、[完了] をクリックして
ウィザードを終了します。新しいディスクが、バー
チャル アプライアンスのデバイス一覧に追加され
ます。
ステップ 3
Panorama バーチャル アプライ パワーオンすると、初回の使用のために仮想ディスクが
アンスをパワーオンします。 初期化されます。初期化処理が完了するまでの時間は、
新しい仮想ディスクのサイズによって異なります。
仮想ディスクが初期化され準備が完了すると、内部スト
レージにある既存のすべてのログが新しい仮想ディスク
に移動します。これで、新しいエントリが仮想ディスク
に書き込まれるようになりました。
32
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスのセットアップ
Panorama バーチャル アプライアンスへの仮想ディスクの追加（続き）
ステップ 4
仮想ディスクのサイズを確認 1.
します。
2.
[Panorama] > [セットアップ] > [管理] の順に選択し
ます。
[ ロギングおよびレポート設定 ] セクションで、新しい
ディスク容量が [ログ ストレージ] に正しく表示されて
いることを確認します。
NFS データストアへの Panorama バーチャル アプライアンスのマウント
Panorama バーチャル アプライアンスを NFS データストアにマウントすると、中央管理された場
所にログを書き込むことができ、ログ ストレージ容量を 2 TB 以上に柔軟に拡張できます。
Panorama 高可用性設定で NFS データストアをセットアップする前に、「Panorama HA でのロギ
ングに関する考慮事項」を参照してください。
Panorama 管理者ガイド
33
Panorama バーチャル アプライアンスのセットアップ
Panorama のセットアップ
NFS データストアへの Panorama バーチャル アプライアンスのマウント
ステップ 1
データストアへのアクセスを 1.
セットアップします。
[Panorama] > [セットアップ] > [操作] の順に選択し
ます。
2.
[ その他 ] セクションの [ ストレージ パーティションの
設定] リンクをクリックします。
3.
[NFS V3] を選択します。
4.
[サーバー] に NFS サーバーの IP アドレスを入力します。
5.
[ログ ディレクトリ] フィールドに、ログ ファイルの保
存に使用する場所 / パスを入力します。たとえば、
「export/panorama」のように入力します。
6.
プロトコル（[TCP] または [UDP]）を選択し、[ポート]
に NFS サーバーのアクセスに使用するポートを入力し
ます。
NFS over TCP を使用するには、NFS サーバーで
サポートされている必要があります。一般的な
NFS ポートは、UDP/TCP 111（RPC の場合）お
よび UDP/TCP 2049（NFS の場合）です。
7.
NFS パフォーマンスを最適にするには、[ 読み取りサ
イズ] および [書き込みサイズ] フィールドで、クライ
アントとサーバー間でやり取りするデータ チャンクの
最大サイズを指定します。読み取り / 書き込みサイズ
を定義すると、Panorama と NFS データストア間でやり
取りするデータ ボリュームおよび転送速度が最適化さ
れます。
8.
[ロギング パーティションのテスト] を選択して、NFS
サーバーの IP アドレスおよび上記の手順で指定した
ディレクトリの場所に Panorama からアクセスできる
ことを確認します。
9.
（任意）[ セットアップ時にコピー] オプションを選択
します。この設定は、Panorama に保存された既存のロ
グを NFS ボリュームにコピーします。既存のログが大
量に存在する場合は、[ セットアップ時にコピー] オプ
ションを有効にすると、大量のデータの転送が開始さ
れます。
10. [コミット] をクリックし、[コミット タイプ] に
[Panorama] を選択して、変更内容を保存します。
ステップ 2
Panorama バーチャル アプライ NFS データストアへのログの書き込みを開始するには、
仮想 Panorama を再起動します。
アンスを再起動します。
1. [Panorama] > [セットアップ] > [操作] の順に選択し
再起動が開始するまで、ログ
ます。
は Panorama バーチャル アプライ
アンスのローカル ストレージ 2.
ディスクに書き込まれます。
34
[ デバイスの操作 ] セクションで、[Panorama の再起動 ]
を選択します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスのセットアップ
Panorama バーチャル アプライアンスのセットアップの完了
これで初期設定が完了したので、以下のセクションに進んで他の設定手順を実行します。

Panorama サポート ライセンスのアクティベーション

Panorama バーチャル アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得

コンテンツ更新および、Panorama ソフトウェア更新のインストール

Panorama 管理インターフェイスへのアクセスおよびナビゲート

Panorama への管理アクセスのセットアップ

ファイアウォールの管理
Panorama 管理者ガイド
35
M-100 アプライアンスのセットアップ
Panorama のセットアップ
M-100 アプライアンスのセットアップ
M-100 管理アプライアンスは、以下の 2 通りの方法でデプロイすることができる高パフォーマ
ンスのハードウェアです。

Panorama モード — アプライアンスは、中央管理機能とログ収集機能の両方を実行します。こ
れがデフォルトのモードです。

ログ コレクタ モード — アプライアンスは、専用ログ コレクタとして機能します。複数のファ
イアウォールが大量のログ データを転送する場合は、ログ コレクタ モードの M-100 アプラ
イアンスにより、規模を拡大し、パフォーマンスを向上させることができます。このモード
の場合、アプライアンスでは Web インターフェイスを使用することができず、コマンドライ
ン インターフェイス（CLI）のみを使用できます。ただし、アプライアンスの管理には
Panorama 管理サーバー（Panorama モードの M-100 アプライアンスまたは Panorama バーチャ
ル アプライアンス）を使用します。ログ コレクタ モードの M-100 アプライアンスに CLI で
アクセスする必要があるのは、初期セットアップ時およびデバッグ時のみです。
Panorama M-100 アプライアンスでは、（ファイアウォール、ログ コレクタ、および Panorama 自体
の）設定、ログ収集、およびコレクタ グループ内での通信において、それぞれ別個のインター
フェイスをサポートしています。M-100 アプライアンスは、デフォルトで 3 つのすべての機能
について、MGT（Eth0）インターフェイスを使用します。MGT インターフェイスのみが設定機
能をサポートできます。ログ収集とコレクタ グループの通信を有効にするには、「M-100 アプ
ライアンスの初期設定の実行」を行うときに、Eth1 または Eth2 インターフェイスを割り当てて
どちらか一方またはその両方を実行することができます。1 つの機能に複数のインターフェイ
スを割り当てることはできません。『M-100 ハードウェア リファレンス ガイド』には、MGT、
Eth1、および Eth2 インターフェイスのケーブルを接続する M-100 アプライアンスの部位が説明
されています。別々のインターフェイスをサポートするため、（Panorama またはログ コレクタ
モードの）M-100 アプライアンスには Panorama 6.1 以降がインストールされ、ファイアウォール
には PAN-OS 6.0 以降がインストールされている必要があります。
36
Panorama 管理者ガイド
Panorama のセットアップ
M-100 アプライアンスのセットアップ
M-100 アプライアンスのセットアップでは、以下のワークフローに従います。
Panorama モードの M-100 アプライアンス
ログ コレクタ モードの M-100 アプライアンス
ステップ 1
M-100 アプライアンスをラックマウン ステップ 1
ト し ま す。手 順 は、『M-100 ハ ー ド
ウェア リファレンス ガイド』を参照
してください。
M-100 アプライアンスをラックマウン
ト し ま す。手 順 は、『M-100 ハ ー ド
ウェア リファレンス ガイド』を参照
してください。
ステップ 2
M-100 アプライアンスの初期設定の実行 ステップ 2
M-100 アプライアンスの初期設定の実行
ステップ 3
Panorama の登録とライセンスのインス ステップ 3
トール
Panorama の登録とライセンスのインス
トール
ステップ 4
コンテンツ更新および、Panorama ソフト ステップ 4
ウェア更新のインストール
コンテンツ更新および、Panorama ソフト
ウェア更新のインストール
ステップ 5
（任意）M-100 アプライアンスのスト ステップ 5
レージの拡張
（任意）M-100 アプライアンスのスト
レージの拡張
ステップ 6
Panorama への管理アクセスのセット
アップ
ステップ 6
Panorama モードからログ コレクタ モー
ドへの切り替え
ステップ 7
ファイアウォールの管理
ステップ 7
ログ収集の管理
ステップ 8
ログ収集の管理
M-100 アプライアンスの初期設定の実行
Panorama のデフォルトの IP アドレスは 192.168.1.1、ユーザー名 / パスワードは admin/admin で
す。セキュリティの理由により、他の設定タスクを続行する前に、これらの設定を変更する必
要があります。これらの初期設定タスクは、MGT インターフェイスから実行するか、M-100 ア
プライアンスのコンソール ポートに直接接続して実行する必要があります。
Panorama 管理者ガイド
37
M-100 アプライアンスのセットアップ
Panorama のセットアップ
M-100 アプライアンスの初期設定の実行
ステップ 1
ネットワーク管理者から、イン • 設定、ログ収集、およびコレクタ グループの通信で
Panorama が使用する各インターフェイス（MGT、Eth1
ターフェイスとサーバーに関す
ま た は Eth2）に つ い て、IP ア ド レ ス、ネ ッ ト マ ス ク
る必要な情報を入手します。
（IPv4 の場合）またはプレフィックス（IPv6 の場合）の
Panorama は、（ファイアウォー
長さ、およびデフォルトのゲートウェイの情報を収集し
ル、ログ コレクタ、および
ます。管理インターフェイスの設定だけは必須です。
Panorama 自 体の）設定 およ び
ピア間の高可用性（HA）同期 • DNS サーバーの IP アドレスを収集します。
で管理（MGT）インターフェ
イスを使用します。
ログ収集またはコレクタ グ
ループの通信では、Eth1 また
は Eth2 インターフェイスを使
用するのがベスト プラクティ
スです。M-100 アプライアンス
は、デ フ ォ ル ト で、そ れ ら の
機能で MGT インターフェイス
を使用します。
ステップ 2
コンピュータを M-100 アプライ 以下のいずれかの方法で M-100 アプライアンスに接続し
アンスに接続します。
ます。
• コンピュータから M-100 アプライアンスのコンソール ポー
トにシリアル ケーブルを接続し、ターミナル エミュ
レーション ソフトウェア（9600-8-N-1）を使用して接続
します。
• コンピュータから M-100 アプライアンスの MGT ポート
に RJ-45 Ethernet ケーブルを接続します。ブラウザで、
https://192.168.1.1 に移動します。この URL にアクセ
スできるようにするには、コンピュータの IP アドレス
を、192.168.1.0 ネットワークと同じネットワーク セグメ
ントのアドレス（192.168.1.2 など）に変更しなければな
らない場合があります。
ステップ 3
38
プロンプトが表示されたら、 デフォルトのユーザー名とパスワード（admin/admin）を
アプライアンスにログインし 使用してログインします。
ます。
アプライアンスの初期化が開始されます。
Panorama 管理者ガイド
Panorama のセットアップ
M-100 アプライアンスのセットアップ
M-100 アプライアンスの初期設定の実行（続き）
ステップ 4
設 定、ロ グ 収 集、お よ び コ レ 1.
クタ グループ通信で Panorama
が使用するインターフェイス 2.
ごとに、ネットワークのアク
セス設定を行います。
[Panorama] > [セットアップ] > [管理] の順に選択し
ます。
Panorama が使用するインターフェイス（管理、Eth1、
または Eth2）ごとに、インターフェイス設定を編集し
ます。必須は、管理インターフェイスのみです。
a. ネットワークの IP プロトコルに合わせて、以下の
いずれかのフィールドを入力します。
– IPv4 — [IP アドレス]、[ネットマスク]、および [デ
フォルト ゲートウェイ]
– IPv6 — [IPv6 アドレス/プレフィックス長] および
[デフォルト IPv6 ゲートウェイ]
b. （任意）インターフェイスで許可する管理サービス
のチェック ボックスをオンにします。Ping は、
Eth1 および Eth2 での唯一のオプションです。ベス
ト プラクティスとして、管理インターフェイスの
[Telnet] と [HTTP] のチェック ボックスをオフにし
ます。これらのサービスでは平文が使用されるた
め、他のサービスより安全性が低くなります。
c. [OK] をクリックして、変更内容を保存します。
Panorama 管理者ガイド
39
M-100 アプライアンスのセットアップ
Panorama のセットアップ
M-100 アプライアンスの初期設定の実行（続き）
ステップ 5
ホスト名、タイム ゾーン、およ 1.
び一般設定を設定します。
[Panorama ] > [セットアップ] > [管理] の順に選択し、
[一般設定] を編集します。
2.
Panorama と管理対象ファイアウォールのクロックを、
同じタイム ゾーン（GMT または UTC など）を使用す
るように合わせます。
PAN-OS は、ファイアウォールがログを生成する場合
と、Panorama がログを受信する場合に、タイムスタン
プを記録します。タイム ゾーンを合わせることによ
り、タイムスタンプが確実に同期され、Panorama での
ログのクエリとレポートの生成プロセスで調和が保た
れるようにします。
40
3.
[ホスト名] に、サーバーのホスト名を入力します。
Panorama では、これをアプライアンスの表示名 / ラベ
ルとして使用します。たとえば、CLI プロンプトにこ
の名前が表示されます。また、[Panorama] > [ 管理対
象コレクタ] ページでアプライアンスを管理対象コレク
タとして追加する場合に、[ コレクタ名 ] フィールドに
表示されます。
4.
[ドメイン] に、ネットワークのドメイン名を入力しま
す。ドメイン名は単なるラベルであり、ドメインに参
加するために Panorama で使用されることはありません。
5.
（任意）[経度] と [緯度] を入力し、そのサーバーが世
界地図上の正確な場所に配置されるようにします。こ
れらの値は、[アプリケーション スコープ] > [トラフィッ
ク マップ ] および [ アプリケーション スコープ ] > [ 脅威
マップ] で使用れます。
6.
[OK] をクリックします。
Panorama 管理者ガイド
Panorama のセットアップ
M-100 アプライアンスのセットアップ
M-100 アプライアンスの初期設定の実行（続き）
ステップ 6
DNS サーバーと更新サーバーを 1.
設定します。
[Panorama ] > [セットアップ] > [サービス] の順に選択
し、設定を編集します。
2.
[ プライマリ DNS サーバー] および（任意で）[ セカン
ダリ DNS サーバー] の IP アドレスを入力します。
3.
デフォルトの [更新サーバー] は、
updates.paloaltonetworks.com です。特定の更新リソース
を指定する必要がある場合は、『PAN-OS 管理者ガイ
ド』（コンテンツ配信の Web リソース）で、URL お
よび固定アドレスの一覧を参照してください。
Panorama がソフトウェアまたはコンテンツ パッ
ケージをダウンロードするサーバーに信頼でき
る認証局によって署名された SSL 証明書がある
ことを、Panorama によって検証する場合は、
[更新サーバー ID の確認] チェック ボックスをオ
ンにします。このオプションを有効にすると、
Panorama 管理サーバーと更新サーバーの間の通
信におけるセキュリティ レベルが向上します。
4.
ステップ 7
ステップ 8
[OK] をクリックして、入力項目を保存します。
デフォルトの管理パスワード 1.
を変更します。
管理コンソールの左下にある [管理者] リンクをクリッ
クします。
管理インターフェイスの 2.
安全性を維持するには、
[ パスワード複雑性設定 ]
を 適 用 し、管 理 者 が パ 3.
スワードを変更する必
要がある間隔を指定し
ます。
現在の管理者パスワードと新しいパスワードを適切な
フィールドに入力し、新しいパスワードを安全な場所
に保管します。
Palo Alto Networks 更新サーバー
など、ファイアウォール管理
に必要な外部サービスへの
ネットワーク アクセスを確認
します。
[OK] と [コミット] をクリックし、[コミット タイプ] と
して [Panorama] を選択して、[OK] をクリックします。
Panorama から外部ネットワーク アクセスが可能であるこ
とを確認するには、ping ユーティリティを使用します。以
下 の例に示すように、デフォルト ゲートウェイ、DNS
サーバー、および Palo Alto Networks 更新サーバーへの接続
を確認します。
admin@Panorama-Corp> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms
接続を確認したら、Ctrl+C キーを押して ping を停止
します。
M-100 アプライアンスを Panorama モードまたはログ コレクタ モードのどちらで使用するかに関係
なく、「Panorama の登録とライセンスのインストール」および「コンテンツ更新および、
Panorama ソフトウェア更新のインストール」に進みます。
Panorama 管理者ガイド
41
M-100 アプライアンスのセットアップ
Panorama のセットアップ
Panorama モードからログ コレクタ モードへの切り替え
M-100 アプライアンスをログ コレクタとして使用すると、Panorama 管理サーバーから専用アプラ
イアンスに、ログを処理するタスクがオフロードされます。以下の手順を実行して、M-100 ア
プライアンスを Panorma モードからログ コレクタ モードに変換します。ファイアウォールおよ
びロ グ コ レク タ を管 理 する Panorama 管 理サ ー バー（バ ーチ ャ ル アプ ラ イア ン スま た は
Panorama モードの M-100 アプライアンス）がすでにセットアップされていることを確認します。
ログ コレクタ モードの M-100 アプライアンスでは、設定タスク用の Web インターフェイスは
サポートされず、SSH アクセスのみがサポートされます。このため、M-100 アプライアンス
でモードを変更する前に、「M-100 アプライアンスの初期設定の実行」を行い、Panorama
モードの Web インターフェイスを使用して「M-100 アプライアンスでのデバイス管理ライセ
ンスのアクティベーション / 取得」を行います。
ログ コレクタ モードの M-100 アプライアンスにログを送信するには、Palo Alto Networks の
ファイアウォールで PAN-OS 5.0 以降のバージョンが実行されている必要があります。5.0 よ
り 前の PAN-OS バ ー ジョ ン で実 行 して い る Palo Alto Networks フ ァイ ア ウォ ー ルで は、
Panorama モードの M-100 アプライアンスまたは Panorama バーチャル アプライアンスにの
みログを送信できます。
Panorama モードからログ コレクタ モードへの切り替え
ステップ 1
M-100 アプライアンスでコマン 以下のいずれかの方法で M-100 アプライアンスに接続し
ド ラ イ ン イ ン タ ー フ ェ イ ス ます。
（CLI）にアクセスします。
• コンピュータから M-100 アプライアンスのコンソール
ポートにシリアル ケーブルを接続します。次に、端末
エミュレーション ソフトウェア（9600-8-N-1）を使用し
て接続します。
• 初期設定時に M-100 アプライアンスに割り当てられた IP
アドレスに対して SSH セッションを開くには、PuTTY な
どの端末エミュレーション ソフトウェアを使用します。
ステップ 2
プロンプトが表示されたら、 初期設定時に割り当てられたデフォルトの admin アカウン
アプライアンスにログインし トとパスワードを使用します。
ます。
ステップ 3
Panorama モードからログ コレ 1.
クタ モードに切り替えます。
ログ コレクタ モードに切り替えるには、以下のコマ
ンドを入力します。
2.
「Yes」と入力して、ログ コレクタ モードへの切り替
えを確認します。アプライアンスが再起動します。
[CMS Login] プロンプトが表示された場合は、ユーザー
名 や パ ス ワ ー ド を 入 力 せ ず に Enter を 押 し ま す。
Panorama のログイン プロンプトが表示されたら、初
期設定時に割り当てられたデフォルトの admin アカウ
ントとパスワードを入力します。
request system logger-mode logger
42
Panorama 管理者ガイド
Panorama のセットアップ
M-100 アプライアンスのセットアップ
Panorama モードからログ コレクタ モードへの切り替え（続き）
ステップ 4
アプライアンスがログ コレク 1.
タ モードであることを確認し 2.
ます。
M-100 アプライアンスで CLI に再度ログインします。
以下のコマンドを入力します。
show system info | match logger_mode
画面に以下のように表示されます。
logger_mode: True
False と表示される場合は、M-100 アプライアンスが
まだ Panorama モードであることを示します。
ステップ 5
ログ コレクタを管理している
Panorama アプライアンスの IP
アドレスを指定します。
CLI で以下のコマンドを入力します。
configure
set deviceconfig system panorama-server <ip_address>
commit
これで、M-100 アプライアンスが正常にセットアップされました。ファイアウォールへのログ
コレクタの割り当て、コレクタ グループの定義、および Panorama を使用したログ コレクタの
管理の手順は、「ログ収集の管理」を参照してください。
M-100 アプライアンスのストレージの拡張
M-100 アプライアンスには、出荷時に RAID1 構成の 2 つのディスクが備えられています。各
M-100 アプライアンスでは、ストレージ容量がそれぞれ 1 TB のディスク ペアを RAID1 に 3 つま
で追加でき、最大容量が 4 TB の RAID ストレージにすることができます。
導入済みの M-100 アプライアンスにディスク ペアを追加する場合、ストレージ容量を拡張す
るためにシステムをオフラインにする必要はありません。追加のディスク ペアが使用可能にな
ると、M-100 アプライアンスは、それらのディスク ペアにログを再配信します。このログの再
配信処理はバックグラウンドで行われるため、M-100 アプライアンスのアップタイムおよび可
用性には影響しません。
M-100 アプライアンスのストレージの拡張
ステップ 1
新しいディスクを適切なドライ ディスク ペア用に次に開いているディスク ベイに、ドラ
ブ ベイにインストールします。 イブを順番に追加します。たとえば、C1/C2 の前に B1/B2
を追加します。
物理ドライブの追加についての詳細は、『M-100 ハード
ウェア リファレンス ガイド』を参照してください。
Panorama 管理者ガイド
43
M-100 アプライアンスのセットアップ
Panorama のセットアップ
M-100 アプライアンスのストレージの拡張（続き）
ステップ 2
M-100 アプライアンスでコマン M-100 アプライアンスには、以下のいずれかの方法で接続
ド ラ イ ン イ ン タ ー フ ェ イ ス できます。
（CLI）にアクセスします。
• コンピュータからコンソール ポートにシリアル ケーブ
ルを接続し、ターミナル エミュレーション ソフトウェ
ア（9600-8-N-1）を使用して M-100 アプライアンスに接
続します。
• M-100 アプライアンスの IP アドレスに対して SSH セッ
ションを開くには、PuTTY などの端末エミュレーショ
ン ソフトウェアを使用します。
ステップ 3
プロンプトが表示されたら、 割り当て済みのデフォルトの admin アカウントとパスワー
アプライアンスにログインし ドを使用します。
ます。
ステップ 4
各ディスク ペアを RAID 設定 この例では、ディスク ベイ B1 と B2 のドライブを使用し
ています。
でセットアップします。
1. 以下のコマンドを入力し、プロンプトが表示されたら
ドライブ上のデータの
要求を確認します。
ミ ラ ー リ ン グ に は、ド
request system raid add B1
ライブのデータ量に応
request system raid add B2
じ て 数 分 か ら 数 時 間 か 2. RAID 設定の進行状況をモニターするには、以下のコマ
かります。
ンドを使用します。
show system raid detail
RAID のセットアップが完了すると、以下の応答が表
示されます。
Disk Pair A
Status
Disk id A1
model
size
status
Disk id A2
model
size
status
Disk Pair B
Status
Disk id B1
model
size
status
Disk id B2
model
size
status
44
Available
clean
Present
: ST91000640NS
: 953869 MB
: active sync
Present
: ST91000640NS
: 953869 MB
: active sync
Available
clean
Present
: ST91000640NS
: 953869 MB
: active sync
Present
: ST91000640NS
: 953869 MB
: active sync
Panorama 管理者ガイド
Panorama のセットアップ
M-100 アプライアンスのセットアップ
M-100 アプライアンスのストレージの拡張（続き）
ステップ 5
ディスク ペアをロギング用に使 1.
用可能にします。
このログ コレクタを管理している Panorama 管理サーバー
にアクセスします（異なるアプライアンスの場合）。
ディスク ペアをロギング用に 2.
有効化するには、このアプラ
イアンスが Panorama で管理対
象コレクタとして追加済みで 3.
ある必要があります。まだ追
加 してい ない 場合は、「管 理
対象コレクタの設定」を参照
してください。
[Panorama] > [ 管理対象コレクタ ] タブで、ログ コレ
クタを選択し、「管理対象コレクタの設定」のステッ
プ 10 の手順に従います。
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
Panorama での管理対象コレクタとしてのログ コレクタの追加、コレクタ グループの定義、およ
びファイアウォールへのログ コレクタの割り当て手順は、「ログ収集の管理」を参照してくだ
さい。
Panorama 管理者ガイド
45
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行
Panorama のセットアップ
Panorama バーチャル アプライアンスから M-100 アプラ
イアンスへの移行
Panorama バーチャル アプライアンス で 10 個以上のファイアウォールを管理しており、1 秒あた
りのロギングが 10,000 を超えている場合は、M-100 アプライアンスに移行することにより、Web
インターフェイスでの応答時間が短縮し、レポートの実行速度が高まります。M-100 アプライ
アンスには、4 TB までの RAID ストレージも備えられています。Panorama バーチャル アプライ
アンスから M-100 アプライアンスに設定を移行するには、以降のトピックの手順に従います。

M-100 アプライアンスに移行する場合の前提条件

M-100 アプライアンスへの移行計画

M-100 アプライアンスへの移行

M-100 アプライアンスへの移行後のファイアウォール管理の再開
M-100 アプライアンスに移行する場合の前提条件
現在のサブスクリプションを移行する場合の前提条件を以下に示します。


M-100 アプライアンスを購入します。

失効させる Panorama バーチャル アプライアンス、M-100 アプライアンスに必要なサポート条
件、アプライアンスを購入したときに受け取った認証コード、および移行の発効日を販売
代理店に伝えます。Palo Alto Networks は、発効日に関連付けられた認証コードを管理アプラ
イアンスのシリアル番号に自動的に適用し、Panorama バーチャル アプライアンスのサポー
ト契約を失効させ、M-100 アプライアンスのサポートを開始します。発効日以降、移行処理
を完了するための時間は限られています。この期間の終わりには、Palo Alto Networks によっ
て Panorama バーチャル アプライアンスに対するサポート資格が取り消されるため、ソフト
ウェア更新や脅威更新を受信できなくなります。ライセンス移行プロセスの詳細は、ナ
レッジ ベースの記事「Panorama VM License Migration to the M-100 Platform」（英語）を参照して
ください。
46
移行アップグレードを取得し、ソフトウェアおよびハードウェア サポートを含む新しいサ
ブスクリプションを購入します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行
M-100 アプライアンスへの移行計画

移行は、メンテナンス期間中に完了するように計画します。接続が再確立すると、ファイア
ウォールでログをバッファし、Panorama に転送することはできますが、メンテナンス期間中に
移行を完了することで、Panorama バーチャル アプライアンスがオフラインになり M-100 アプラ
イアンスがオンラインになる移行期間中に、ログ データの損失が最小限に抑えられます。

移行の完了後に Panorama バーチャル アプライアンスへのアクセスを保持するかどうかを検
討します。Panorama バーチャル アプライアンスと M-100 アプライアンスではログ フォー
マットに互換性がないため、既存のログ データを M-100 アプライアンスに移行することは
できません。このため、古いログにアクセスするには、Panorama バーチャル アプライアン
スが引き続きアクセス可能である必要があります。

M-100 アプライアンスで同じ IP アドレスを使用するのか、新しい IP アドレスを割り当てる
のかを決定します。新しい IP アドレスを指し示すように各管理対象ファイアウォールを再
設定しなくても済むように、同じ管理 IP アドレスを再利用することをお勧めします。
ログ コンプライアンス要件がある場合は、Panorama バーチャル アプライアンスで新しい IP
アドレスを再設定して、レポート生成用に古いログへのアクセスを保持します。

初期設定時に M-100 アプライアンスへの接続をセットアップするため、新しい IP アドレスを
手元に保持します。Panorama バーチャル アプライアンスに割り当てられた IP アドレスを転送
する場合は、この新しい IP アドレスが一時的に使用されます。新しい IP アドレスは、M-100
アプライアンスで Panorama バーチャル アプライアンスから設定ファイルを復元するときに
上書きされます。
M-100 アプライアンスへの移行
Panorama バーチャル アプライアンスから M-100 アプライアンスに設定を移行するには、
Panorama バーチャル アプライアンスと M-100 アプライアンスでタスクを実行する必要があります。
Panorama バーチャル アプライアンスで、以下のタスクを実行します。
M-100 アプライアンスへの移行 : Panorama バーチャル アプライアンスで実行するタスク
ステップ 1
最新の Panorama バージョンに 「コンテンツ更新および、Panorama ソフトウェア更新のイ
アップグレードします。
ンストール」を参照してください。
ステップ 2
仮想 Panorama で実行中の設定を 1.
エクスポートします。
[Panorama] > [セットアップ] > [操作] タブの [設定の
管理] セクションで、[名前付き Panorama 設定スナップ
ショットのエクスポート] を選択します。
2.
ア ク テ ィ ブ な 設 定（running-config.xml）を 選 択 し、
[OK] をクリックします。ファイルがダウンロードさ
れ、ローカル マシンに保存されます。
3.
ファイル名を変更します。
Panorama 管理者ガイド
47
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行
Panorama のセットアップ
M-100 アプライアンスへの移行 : Panorama バーチャル アプライアンスで実行するタスク（続き）
ステップ 3
仮想マシンをパワーオフする Panorama バーチャル アプライアンスで設定された MGT イ
か、IP アドレスを変更します。 ンターフェイス IP アドレスを M-100 アプライアンスで再
利用する場合は、バーチャル アプライアンスをパワーオ
フするか、バーチャル アプライアンスで新しい IP アドレ
スを MGT ポートに割り当てます。
IP アドレスを変更するには、[Panorama] > [セットアップ]
タブで [管理インターフェイス設定] セクションを編集し、
新しい IP アドレスを入力します。
Panorama M-100 アプライアンスで、以下のタスクを実行します。
M-100 アプライアンスへの移行 : M-100 アプライアンスで実行するタスク
ステップ 1
ネットワーク アクセスをセッ 方法については、「M-100 アプライアンスの初期設定の実
トアップします。
行」を参照してください。
M-100 アプライアンスでの初期設定時に新しい一時 IP ア
ドレスを割り当て、Panorama バーチャル アプライアンス
に割り当てられた IP アドレスを再利用することを検討し
ます。一時 IP アドレスは、このプロセスの後の方で設定
をインポートするときに上書きされます。
上記のステップ 1で選択した Panorama バージョンと同じも
の をイ ンス トー ルし ます。アップ グレ ード の実 行手 順
は、「コンテンツ更新および、Panorama ソフトウェア更新
のインストール」を参照してください。
ステップ 2
Panorama バーチャル アプライ
アンスで実行されているもの
と同じ Panorama バージョンを
インストールします。
ステップ 3
Panorama を登録し、ライセンス 「Panorama の登録とライセンスのインストール」を参照
を取得します。
してください。
ステップ 4
最新の Panorama バージョンに 「コンテンツ更新および、Panorama ソフトウェア更新のイ
アップグレードします。
ンストール」を参照してください。
ステップ 5
設 定 フ ァ イ ル を イ ン ポ ー ト 1.
し、ロードします。
[Panorama] > [セットアップ] > [操作] タブの [設定の
管理] セクションで、[名前付き Panorama 設定スナップ
ショットのインポート] を選択します。
2.
running-config.xml（ま た は 名 前 が 変 更 さ れ た フ ァ イ
ル）を参照して選択し、[OK] をクリックします。
3.
[名前付き Panorama 設定スナップショットのロード]
リンク選択し、インポートした設定ファイルをロード
します。
設定ファイルのロード時にエラーが発生すると、画面
に表示されます。
4.
エラーが発生した場合は、それらのエラーをローカル
ファイルに保存します。各エラーを調べて解決し、移
行に設定のすべてのコンポーネントが含まれているこ
とを確認します。
48
Panorama 管理者ガイド
Panorama のセットアップ
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行
M-100 アプライアンスへの移行 : M-100 アプライアンスで実行するタスク（続き）
ステップ 6
Panorama で設定を確認し、変更 1.
します。
同じネットワーク アクセス設定を MGT インターフェ
イスに再利用しない場合は、値を変更します。
a. [Panorama] > [セットアップ] の順に選択し、[管理
インターフェイス設定] を編集します。
b. [IP アドレス ]、[ ネットマスク ]、および [ デフォル
ト ゲートウェイ] の値を入力します。
c. アクセス許可 IP アドレスに定義された IP アドレス
のリストが正しいことを確認します。
2.
ホスト名を変更するには、[Panorama] > [ セットアッ
プ] タブの [一般設定] セクションを編集します。
3.
アプライアンスで設定された管理アクセス設定（管理
者、ロール、アクセス ドメイン）が正しいことを、
[Panorama] > [ 管理者 ] タブ、[Panorama] > [ 管理者
ロール] タブ、および [Panorama] > [アクセス ドメイ
ン] タブで確認します。
ステップ 7
デフォルトのログ コレクタを Panorama バーチャル アプライアンスから設定をインポー
M-100 アプライアンスに追加し トすると、デフォルトのログ コレクタが M-100 アプライ
直します。
アンスから削除されます。ログ コレクタを M-100 アプラ
イ ア ン ス に 追 加 し 直 す に は、「管 理 対 象 コ レ ク タ の 設
定」の手順に従います。
ステップ 8
Panorama に対して行ったすべて 設定の変更を確認したら、[コミット] をクリックします。
の変更を保存します。
[ コミット タイプ ] に [Panorama] を選択し、[OK] をクリッ
クします。
M-100 アプライアンスへの移行後のファイアウォール管理の再開
中央管理を再開するには、管理対象ファイアウォールへの接続を復元する必要があります。以
下のタスクをメンテナンス期間中に完了して、ネットワークの中断を最小限に抑えます。
M-100 アプライアンスへの移行後のファイアウォール管理の再開
ステップ 1
Panorama にログインします。
Panorama 管理者ガイド
Web ブラウザからの安全な接続（HTTPS）を使用し、初期設
定時に割り当てられた IP アドレス（https://<IP address>）、
ユーザー名、およびパスワードを入力してログインします。
49
Panorama バーチャル アプライアンスから M-100 アプライアンスへの移行
Panorama のセットアップ
M-100 アプライアンスへの移行後のファイアウォール管理の再開（続き）
ステップ 2
Panorama での設定を管理対象 1.
ファイアウォールの設定と同
期します。
[Panorama] > [ 管理対象デバイス ] の順に選択し、各
デバイスの [接続済み] 状態の表示がオンになっている
ことを確認します。
テンプレートおよびデバイス グループの状態は、[同期
していません] アイコンで表示されます。
2.
デバイス グループを同期するには、以下の手順を実行
します。
a. [コミット] をクリックし、[コミット タイプ] に [デバ
イス グループ] を選択します。
b. 各デバイス グループを選択し、[OK] をクリックし
ます。
3.
テンプレートを同期するには、以下の手順を実行し
ます。
a. [コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
b. [コミット] をクリックし、[コミット タイプ] に [テン
プレート] を選択します。
ステップ 3
管理対象ファイアウォールの 1.
接続および同期状態を確認し 2.
ます。
[Panorama] > [管理対象デバイス] の順に選択します。
ファイアウォールごとに、以下の状態を確認します。
• [接続済み] 列のチェック マークは、ファイアウォー
ルが Panorama に接続されていることを示します。
• [共有ポリシー] 列の値 [同期中] は、ファイアウォー
ルの設定が Panorama のデバイス グループと同期さ
れていることを示します。
• [テンプレート] 列の値 [同期中] は、ファイアウォー
ルの設定が Panorama のテンプレートと同期されて
いることを示します。
50
Panorama 管理者ガイド
Panorama のセットアップ
Panorama の登録とライセンスのインストール
Panorama の登録とライセンスのインストール
中央管理、ロギング、およびレポート作成で Panorama を使用できるようにするには、まず、
Panorama のライセンスを、登録、アクティベーション、および取得する必要があります。
Panorama のすべてのインスタンスには、デバイスを管理し、サポートを受けるための有効なラ
イセンスが必要です。デバイス管理ライセンスにより、Panorama で管理できるデバイスの最大
数が決まります。サポート ライセンスにより、最新のアプリケーションおよび脅威シグネチャ
での Panorama のソフトウェア更新およびダイナミック コンテンツ更新が、Palo Alto Networks で
公開されている他の更新とともに有効になります。ライセンスを購入するには、Palo Alto
Networks のシステム エンジニアまたはリセラーにお問い合わせください。

Panorama の登録

Panorama サポート ライセンスのアクティベーション

Panorama バーチャル アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得

M-100 アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得
Panorama バーチャル アプライアンスのデバイス管理の評価版ライセンスを実行しており、購
入した Panorama ライセンスを適用する場合は、「Panorama の登録」と「Panorama バー
チャル アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得」のタスクを
実行します。
Panorama の登録
Panorama の登録
ステップ 1
Panorama Web インターフェイス Web ブラウザから安全な接続（https://<IP address>）を使
にログインします。
用し、初期設定時に割り当てた IP アドレスとパスワード
を使用してログインします。
ステップ 2
Panorama のシリアル番号または
認証コードを記録し、販売注
文番号またはカスタマー ID を
記録します。
認証コード、販売受注番号、またはカスタマー ID は、
Panorama の注文時に Palo Alto Networks カスタマー サポー
トから送信されてきた受注完了電子メールに記載されて
います。
シリアル番号を確認できる場所は、プラットフォームに
よって異なります。
• M-100 アプライアンス — [Dashboard] タブの [一般的な
情報] セクションの [シリアル番号] フィールドを参照し
てください。
• Panorama バーチャル アプライアンス — 受注完了電子
メールを参照してください。
ステップ 3
Palo Alto Networks サポート サイ 新しいブラウザのタブまたはウィンドウで、
トに移動します。
https://support.paloaltonetworks.com に移動します。
Panorama 管理者ガイド
51
Panorama の登録とライセンスのインストール
Panorama のセットアップ
Panorama の登録（続き）
ステップ 4
Panorama を登録します。手順 • 初めて登録する Palo Alto Networks アプライアンスである
場合は、まだログイン情報は登録されていません。
は、サポート サイトにすでに
ログイン情報が登録されている
a. ページの右側で [Register] をクリックし、[Your Email
かどうかに応じて異なります。
Address] に電子メール アドレスを入力し、ページ
に表示されるコードを入力して、[Submit] をクリッ
クします。
b. [Create Contact Details] セクションのフィールドに
情報を入力します。
c. [Display Name]、[Confirm Email Address]、および
[Password/Confirm Password] を入力します。
d. Panorama の [Device Serial Number] または [Auth
Code] を入力します。
e. [Sales Order Number] または [Customer ID] を入力
します。
f. [Submit] をクリックします。
• すでにサポート アカウントを持っている場合は、以下の
手順に従います。
a. サポート サイトにログインし、[Assets] タブをクリッ
クして、[Register New Device] をクリックします。
b. Panorama の [Device Serial Number] を入力します。
c. [City]、[Postal Code]、および [Country] を入力します。
d. [Submit] をクリックします。
Panorama サポート ライセンスのアクティベーション
Panorama M-100 アプライアンスまたは Panorama バーチャル アプライアンスで Panorama のサポー
ト ライセンスをアクティベーションする前に、「Panorama の登録」を実行する必要があります。
Panorama サポート ライセンスのアクティベーション
1.
[Panorama] > [サポート] の順に選択し、[認証コードを使用した機能のアクティベーション] をオン
にします。
2.
[認証コード] を入力し、[OK] をクリックします。
3.
サブスクリプションがアクティベーションされていることを確認します。
52
Panorama 管理者ガイド
Panorama のセットアップ
Panorama の登録とライセンスのインストール
Panorama バーチャル アプライアンスでのデバイス管理ライセンスのアク
ティベーション / 取得
Panorama バーチャル アプライアンスでデバイス管理ライセンスのアクティベーションおよび取
得を実行する前に、「Panorama の登録」を行う必要があります。評価版ライセンスを実行して
おり、購入したライセンスを適用する場合は、購入したライセンスを登録し、アクティベー
ション / 取得する必要があります。
Panorama バーチャル アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得
1.
[Panorama ] > [セットアップ] > [管理] の順に選択し、[一般設定] を編集します。
2.
Panorama の [シリアル番号]（受注完了電子メールに記載）を入力し、[OK] をクリックします。
3.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK] をクリックします。
ライセンスによって許可される Panorama バーチャル アプライアンスで管理可能なライセンス
の数を確認するには、Palo Alto サポート Web サイト（https://support.paloaltonetworks.com）に
ログインし、[Assets] タブを選択し、Panorama デバイスを見つけ、モデル名を表示します。
たとえば、PAN-PRA-25 モデルでは、25 のデバイスを管理できます。このページには、有効
期限日と他のライセンス情報も表示されます。
M-100 アプライアンスでのデバイス管理ライセンスのアクティベーション /
取得
M-100 アプライアンスで Panorama デバイス管理ライセンスのアクティベーションおよび取得を
行う前に、以下を実行する必要があります。

Panorama の登録。

購入した製品 / サブスクリプションの認証コードを準備します。注文時に、Palo Alto Networks
カスタマー サービスから、購入に関連する認証コードを記載した電子メールが送信されま
す。この電子メールを紛失した場合は、カスタマー サポートに連絡して認証コードを入手
し、それから次に進んでください。
ライセンスをアクティベーションして取得すると、[Panorama] > [ライセンス] ページに、関連
する発行日、有効期限日、およびそのライセンスにより Panorama で管理できるデバイスの数が
表示されます。
Panorama 管理者ガイド
53
Panorama の登録とライセンスのインストール
Panorama のセットアップ
以下の方法でライセンスをアクティベーションして取得できます。
M-100 アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得
• Web インターフェイスを使用して、ライセ 1.
ンスをアクティベーションおよび取得し
ます。
[Panorama] > [ライセンス] の順に選択し、[認証コー
ドを使用した機能のアクティベーション ] をオンにし
ます。
この方法は、Panorama で Palo Alto Networks 2.
の更新サーバーに接続する準備ができて
いるが（「M-100 アプライアンスの初期設
定の実行」タスクが完了している）、Palo
Alto Networks サポート Web サイトでライ
センスをアクティベーションしていない
場合に選択します。
[認証コード] を入力し、[OK] をクリックします。
Panorama がライセンスを取得してアクティベーション
します。
• ライセンス サーバーからライセンス キー 1.
を取得します。
Palo Alto Networks サポート Web サイトでライセンスを
アクティベーションします。
Panorama で更新サーバーに接続する準備
ができていない場合（たとえば、M-100
アプライアンスの初期設定を完了してい
ない場合）は、サポート Web サイトでラ
イ セ ン ス を ア ク テ ィ ベ ー シ ョ ン し て、
Panorama での接続準備ができてから、Web
イン タ ーフ ェイ ス を使 用し て アク ティ
ベーションされたライセンスを取得でき
ます。アクティベーションされたライセ
ンスを取得するプロセスは、取得とアク 2.
ティベーションの両方のプロセスよりも
短い時間で処理されます。
a. インターネットにアクセス可能なホストのブラウザ
で、Palo Alto サポート Web サイト
（https://support.paloaltonetworks.com）にアクセスし
てログインします。
3.
54
b. [Assets] タブの [Action] 列で M-100 アプライアンス
を見つけ、編集アイコンをクリックします。
c. [Authorization Code] を入力し、[Add] をクリック
してライセンスをアクティベーションします。
更新サーバーに接続するように Panorama を設定します。
「M-100 アプライアンスの初期設定の実行」を参照し
てください。
[Panorama] > [ライセンス] の順に選択し、[ライセン
ス サーバーからライセンス キーを取得] を選択します。
Panorama がアクティベーションされたライセンスを取
得します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama の登録とライセンスのインストール
M-100 アプライアンスでのデバイス管理ライセンスのアクティベーション / 取得（続き）
• ホストから Panorama にライセンスを手動で 1.
アップロードします。Panorama がそのホス
トにアクセスできる必要があります。
Panorama がセットアップされていても
（「M-100 アプライアンスの初期設定の実
行」タスクを完了している）、更新サー
バーと接続されていない場合は、サポー
ト Web サイトでライセンスをアクティ
ベーションし、更新サーバーに接続する
ことができるホストにそのライセンスをダ
ウンロードして、ライセンスを Panorama に
アップロードします。
Panorama 管理者ガイド
Palo Alto Networks サポート Web サイトでライセンスを
アクティベーションしてダウンロードします。
a. インターネットにアクセス可能なホストのブラウザ
で、Palo Alto サポート Web サイト
（https://support.paloaltonetworks.com）にアクセスし
てログインします。
b. [Assets] タブの [Action] 列で M-100 アプライアンス
を見つけ、編集アイコンをクリックします。
c. [Authorization Code] を入力し、[Add] をクリック
してライセンスをアクティベーションします。
d. [アクション] 列で、ダウンロード アイコンをクリッ
クし、ライセンス キー ファイルをホストに保存し
ます。
2.
Panorama Web インターフェイスで、[Panorama] > [ラ
イセンス] の順に選択し、[ライセンス キーの手動アッ
プロード] をクリックして、[参照] をクリックします。
3.
ホストにダウンロードしたキー ファイルを選択し、[開
く] をクリックします。
4.
[OK] をクリックして、アクティベーションされたライ
センス キーをアップロードします。
55
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama のセットアップ
コンテンツ更新および、Panorama ソフトウェア更新のイ
ンストール
有効なサポート サブスクリプションにより、Panorama のソフトウェア イメージとリリース
ノートにアクセスすることができます。最新の修正およびセキュリティ強化を利用するため、
最新のソフトウェアにアップグレードするか、リセラーまたは Palo Alto Networks のシステム エ
ンジニアが推奨する更新バージョンにアップグレードすることをお勧めします。
管理対象ファイアウォールのコンテンツ サブスクリプションに応じて、Panorama およびログ コ
レクタでもコンテンツ更新が必要になる場合があります。ソフトウェア更新とコンテンツ更新
をインストールする手順は、Panorama からインターネットに直接接続できるかどうかに応じて
異なります。

Panorama およびログ コレクタのコンテンツ更新の依存関係

Panorama からインターネットに接続できる場合の更新のインストール

Panorama からインターネットに接続できない場合の更新のインストール
Panorama およびログ コレクタのコンテンツ更新の依存関係
脅威防御や Wildfire などの追加のサブスクリプションがあるファイアウォールを管理する場合、
Panorama でも、アプリケーションおよび脅威データベースのコンテンツを更新する必要があり
ます。サポート サブスクリプションでは、これらの更新を取得できます。ファイアウォール
は、ポリシー設定でアプリケーションおよび脅威データベースを参照し、レポートの生成時に
このデータベースを使用します。ファイアウォールでは、データベースを使用して、ログに記
録されている ID を対応する脅威、URL、またはアプリケーション名と照合します。このため、
不一致を回避するために、Panorama と管理対象ファイアウォールに同じバージョンのアプリ
ケーションおよび脅威データベースをインストールすることをお勧めします。
専用のログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）でも、コンテンツ更新が
必要です。Panorama または管理対象ファイアウォールからレポートを生成するとき、要求を処理
するためのメタデータを取得するために、アプリケーションおよび脅威データベースが使用さ
れます。専用ログ コレクタにコンテンツ データベースをインストールしない場合は、レポート
に必要な完全なデータセットを取得できないため、不完全な情報や不正確な情報が表示される
可能性があります。
56
Panorama 管理者ガイド
Panorama のセットアップ
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama からインターネットに接続できる場合の更新のインストール
Panorama からインターネットに直接接続できる場合は、「コンテンツ更新および、Panorama ソフト
ウェア更新のインストール」の手順を実行します。
Panorama バーチャル アプライアンスをアップグレードする前に、ESX(i) ホストが、「Panorama
バーチャル アプライアンスのセットアップ前提条件」の一覧にある最小リソース要件を満たして
いることを確認します。
管理対象の Panorama とファイアウォールの両方でアップグレードが必要な場合は、Panorama
をアップグレードしてからファイアウォールをアップグレードします。
Panorama 6.1 では、PAN-OS 6.0.3 以前を実行しているファイアウォールに設定をプッシュで
きません。したがって、設定をデバイスにプッシュする前にすべての管理対象ファイアウォー
ルを PAN-OS 6.0.4 以降にアップグレードする場合は、Panorama のみを 6.1 にアップグレード
します。
Panorama からインターネットに接続できる場合の更新のインストール
ステップ 1
最新のコンテンツ更新がある 1.
かどうか確認し、ダウンロー 2.
ドしてインストールします。
ソフトウェア更新の前
に コ ン テ ン ツ 更 新 を イ 3.
ンストールする必要が
あ り ま す。ま た、最 初
に、ア プ リ ケ ー シ ョ ン
および脅威更新をイン
ス ト ー ル し て か ら、ア
ンチウイルスおよび
WildFire 更新をインストー
ルしてください。
Panorama 管理者ガイド
[Panorama] > [ダイナミック更新] の順に選択します。
[今すぐチェック] をクリックして最新の更新があるか
どうか確認します。[アクション] 列の値が [ダウンロー
ド] の場合は、入手可能な更新があります。
サブスクリプションを購入したコンテンツ タイプ（ア
プリケーション、アプリケーションおよび脅威、アン
チウィルス、または WildFire）ごとに、以下の手順を
実行します。
a. [ダウンロード] をクリックして、目的のバージョン
を入手します。
b. [アクション] 列の [インストール] リンクをクリック
します。インストールが完了すると、[ 現在インス
トール済み] 列にチェック マークが表示されます。
57
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama のセットアップ
Panorama からインターネットに接続できる場合の更新のインストール（続き）
ステップ 2
最新のソフトウェア更新がある 1.
かどうか確認し、ダウンロー 2.
ドしてインストールします。
[Panorama] > [ソフトウェア] の順に選択します。
[今すぐチェック] をクリックして最新の更新があるか
どうか確認します。更新が入手可能な場合は、[ アク
ション] 列に [ダウンロード] リンクが表示されます。
3.
[ バージョン ] 列の表示を確認し、アップグレードする
バージョンを決定します。
4.
必要なバージョンの [ アクション ] 列で、[ ダウンロー
ド] をクリックします。ダウンロードが完了すると、
[アクション] 列の値が [インストール] になります。
5.
[インストール] をクリックします。
6.
Panorama を再起動します。
• 再起動のプロンプトが表示されたら、[はい] をクリッ
クします。[CMS Login] プロンプトが表示された場合
は、ユーザー名やパスワードを入力せずに Enter を
押します。Panorama のログイン プロンプトが表示
されたら、初期設定時に設定したユーザー名 / パス
ワードを入力します。
• あるいは、[Panorama] > [セットアップ] > [操作] の
順 に 選 択 し、[ デ バ イ ス の 操 作 ] セ ク シ ョ ン で
[Panorama の再起動] をクリックします。
ステップ 3
（Panorama 5.1 以降にアップグ Panorama を再起動したら、以下のタスクを実行します。
レードする Panorama バーチャ 1. バーチャル アプライアンスをパワーオフします。
ル アプライアンスの場合のみ） 2. 右クリックし、[ 設定の編集 ...] を選択して以下のパラ
Panorama バーチャル アプライ
メータを変更します。
アンスで設定を変更します。
a. [オプション] タブで、[ゲスト オペレーティング シ
重要: Panorama 5.1 以降が実行さ
ステム] を [その他の Linux（32 ビット）] から [そ
れている Panorama バーチャル
の他の Linux（64 ビット）] に変更します。
アプライアンスをパワーオン
b. [ハードウェア] タブで、[SCSI コントローラ] を
する前に、ESX(i) ホストで 64
[BusLogic パラレル] から [LSI Logic パラレル] に変
ビット オペレーティング シス
更します。
テム（OS）がサポートされて
c. [ハードウェア] タブで、メモリ割り当てを最小 4 GB
おり、その最小システム要件
（ファイアウォール 10 未満の場合）または 16 GB
が満たされていることを確認
（ファイアウォールが 10 以上の場合）に変更します。
し て く だ さ い。詳 細 は、
「Panorama バーチャル アプラ 3.
イアンスのセットアップ前提
条件」を参照してください。
58
バーチャル アプライアンスをパワーオンします。
Panorama 管理者ガイド
Panorama のセットアップ
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama からインターネットに接続できない場合の更新のインストール
Panorama からインターネットに直接接続できない場合は、「コンテンツ更新および、Panorama ソ
フトウェア更新のインストール」の手順を実行します。
Panorama バーチャル アプライアンスをアップグレードする前に、ESX(i) ホストが、「Panorama
バーチャル アプライアンスのセットアップ前提条件」の一覧にある最小リソース要件を満たして
いることを確認します。
管理対象の Panorama とファイアウォールの両方でアップグレードが必要な場合は、Panorama
をアップグレードしてからファイアウォールをアップグレードします。
Panorama 6.1 では、PAN-OS 6.0.3 以前を実行しているファイアウォールに設定をプッシュで
きません。したがって、設定をデバイスにプッシュする前にすべての管理対象ファイアウォー
ルを PAN-OS 6.0.4 以降にアップグレードする場合は、Panorama のみを 6.1 にアップグレード
します。
Panorama からインターネットに接続できない場合の更新のインストール
ステップ 1
インターネットにアクセスで 1.
きるホストに、コンテンツ更
新とソフトウェア更新にダウ
ン ロ ー ド し ま す。Panorama が
そのホストにアクセスできる 2.
必要があります。
インターネットにアクセス可能なホストのブラウザ
で、Palo Alto サポート Web サイト
（https://support.paloaltonetworks.com）にアクセスして
ログインします。
3.
必要なコンテンツ更新が含まれているセクションで、
[ダウンロード] をクリックし、ファイルをホストに保
存します。サブスクリプションを購入したコンテンツ
タイプ（アプリケーション、アプリケーションおよび
脅威、アンチウィルス、または WildFire）ごとに、こ
の手順を実行します。
4.
Palo Alto サポート Web サイトのメイン ページに戻り、
[Software Updates] をクリックします。
5.
[ ダウンロード ] 列の表示を確認し、インストールする
バージョンを決定します。更新パッケージのファイル
名の形式は、プラットフォームに応じて異なります。
[リソース] セクションで、[ダイナミック更新] をクリッ
クします。
• Panorama バーチャル アプライアンス —
Panorama-ESX-<release>.zip（たとえば、
Panorama-ESX-6.1.0.zip）
• Panorama M-100 アプライアンス —
Panorama-m-<release>（たとえば、
Panorama-m-6.1.0）
6.
Panorama 管理者ガイド
ファイル名をクリックして、そのファイルをホストに
保存します。
59
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama のセットアップ
Panorama からインターネットに接続できない場合の更新のインストール（続き）
ステップ 2
コンテンツ更新を Panorama に 1.
アップロードします。
Panorama にログインし、[Panorama] > [ダイナミック
更新] の順に選択します。
2.
サブスクリプションを購入したコンテンツ タイプごと
に、以下の手順を実行します。
a. [アップロード] をクリックし、コンテンツ更新の [タ
イプ] をクリックします。
– アプリケーション
– アプリケーションおよび脅威
– アンチウイルス
– WildFire
b. ホストのコンテンツ更新ファイルへのパスを入力す
るか、または [参照] をクリックしてファイルを見つ
け、[OK] をクリックします。
c. [状態] が [完了] の場合は、[閉じる] をクリックし
ます。
ステップ 3
コンテンツ更新をインストー サブスクリプションを購入したコンテンツ タイプごと
に、以下の手順を実行します。
ルします。
1. [Panorama] > [ダイナミック更新] ページで、[ファイ
ソフトウェア更新の前
ルからインストール] をクリックします。
にコンテンツ更新をイ
ン ス ト ー ル す る 必 要 が 2.
あ り ま す。ま た、ア ン
チ ウ ィ ル ス 更 新 と
WildFire 更新の前に、ア
プリケーションおよび
脅威更新をインストー
ルする必要があります。
3.
ステップ 4
60
[ パッケージ タイプ ] を選択します。
• アプリケーション
• アプリケーションおよび脅威
• アンチウイルス
• WildFire
[OK] をクリックし、結果が [成功] になっていたら、[閉
じる] をクリックします。
ソ フ ト ウ ェ ア 更 新 を ア ッ プ 1.
ロードします。
[Panorama] > [ソフトウェア] ページで、[アップロー
ド] をクリックします。
2.
ホストのソフトウェア更新ファイルへのパスを入力する
か、または [参照] をクリックしてファイルを見つけ、
[OK] をクリックします。
3.
結果が [成功] になっていたら、[閉じる] をクリックし
ます。
Panorama 管理者ガイド
Panorama のセットアップ
コンテンツ更新および、Panorama ソフトウェア更新のインストール
Panorama からインターネットに接続できない場合の更新のインストール（続き）
ステップ 5
ソ フ ト ウ ェ ア 更 新 を イ ン ス 1.
トールします。
[Panorama] > [ソフトウェア] ページで、[ファイルか
らインストール] をクリックします。
2.
アップロードしたソフトウェア ファイルを選択し、[OK]
をクリックします。
3.
Panorama を再起動します。
• 再起動のプロンプトが表示されたら、[はい] をクリッ
クします。[CMS Login] プロンプトが表示された場合
は、ユーザー名やパスワードを入力せずに Enter を
押します。Panorama のログイン プロンプトが表示さ
れたら、初期設定時に設定したユーザー名/パスワー
ドを入力します。
• あるいは、[Panorama] > [セットアップ] > [操作] の
順に選択し、[デバイスの操作] セクションで
[Panorama の再起動] をクリックします。
ステップ 6
（Panorama バージョン 5.1 以降 Panorama を再起動したら、以下のタスクを実行します。
にアップグレードする Panorama 1. バーチャル アプライアンスをパワーオフします。
バーチャル アプライアンスの 2. 右クリックし、[ 設定の編集 ...] を選択して以下のパラ
場 合の み）Panorama バ ーチ ャ
メータを変更します。
ル アプライアンスで設定を変
a. [オプション] タブで、[ゲスト オペレーティング シ
更します。
ステム] を [その他の Linux（32 ビット）] から [そ
重要 : バージョン 5.1 以降が実
の他の Linux（64 ビット）] に変更します。
行 さ れ て い る Panorama バ ー
b. [ハードウェア] タブで、[SCSI コントローラ] を
チャル アプライアンスをパ
[BusLogic パラレル] から [LSI Logic パラレル] に変
ワーオンする前に、ESX(i) ホス
更します。
トで 64 ビット オペレーティン
c. [ハードウェア] タブで、メモリ割り当てを最小 4 GB
グ システム（OS）がサポート
（ファイアウォール 10 未満の場合）または 16 GB
されており、その最小システ
（ファイアウォールが 10 以上の場合）に変更します。
ム要件が満たされていること
を確認してください。詳細は、 3. バーチャル アプライアンスをパワーオンします。
「Panorama バーチャル アプラ
イアンスのセットアップ前提条
件」を参照してください。
Panorama 管理者ガイド
61
Panorama 管理インターフェイスへのアクセスおよびナビゲート
Panorama のセットアップ
Panorama 管理インターフェイスへのアクセスおよびナビ
ゲート
Panorama には以下の 3 つの管理インターフェイスがあります。

Web インターフェイス — Panorama Web インターフェイスは、ファイアウォールの Web インター
フェイスに類似した外観と操作感を備えるよう意図的に設計されています。ファイアウォー
ルを使い慣れていれば、Panorama Web インターフェイスでのナビゲートや管理タスクの実
行、レポートの生成を比較的簡単に行うことができます。このグラフィカル インターフェイ
スでは、HTTPS を使用して Panorama にアクセスできます。これは、管理タスクを実行する
ための最適な方法です。「Panorama Web インターフェイスへのログイン」および「Panorama
Web インターフェイスへのナビゲート」を参照してください。Panorama への HTTP アクセス
を有効にする必要がある場合は、[Panorama] > [セットアップ] > [管理] タブで [管理インター
フェイス設定] を編集します。

コマンド ライン インターフェイス — コマンド ライン インターフェイスは、コマンドを間断な
く入力して一連のタスクを完了できる実質的なインターフェイスです。CLI では、2 つのコ
マンド モード（操作および設定）がサポートされており、各モードにはコマンドとステート
メントの独自の階層があります。コマンドのネスト構造と構文に慣れると、CLI の応答時間
を短縮し、効率的な管理が可能になります。「Panorama CLI へのログイン」を参照してくだ
さい。

XML API — XML ベースの API は、HTTP/HTTPS の要求と応答を使用して実装される Web サー
ビスとして提供されます。内部的に開発された既存のアプリケーションやリポジトリの操作
および統合を合理化できます。Panorama API インターフェイスの使用法の詳細は、PAN-OS お
よび Panorama XML ベース API のドキュメントを参照してください。スクリプト開発のオンラ
イン コミュニティにアクセスするには、https://live.paloaltonetworks.com/community/devcenter にア
クセスします。
Panorama Web インターフェイスへのログイン
Panorama Web インターフェイスへのログイン
ステップ 1
Panorama Web インターフェイス Web ブラウザからの安全な接続（https）を使用し、初期設
にログインします。
定時に割り当てた IP アドレスとパスワードを入力してロ
グインします（https://<IP address>）。
ステップ 2
（任意）HTTP および SSH アク 1.
セスを有効にします。
[Panorama] > [セットアップ] > [管理] の順に選択し、
[管理インターフェイス設定] を編集します。
2.
インターフェイスで許可する管理サービスを選択しま
す。たとえば、[HTTP] および [SSH] を選択します。
3.
[OK] をクリックします。
62
Panorama 管理者ガイド
Panorama のセットアップ
Panorama 管理インターフェイスへのアクセスおよびナビゲート
Panorama Web インターフェイスへのナビゲート
Panorama の設定、管理対象ファイアウォールおよびログ コレクタの管理とモニター、デバイス
コンテキストを使用した各管理対象ファイアウォールの Web インターフェイスにアクセスする
には、Panorama Web インターフェイスを使用します。Web インターフェイスの各タブのオプ
ションの詳細は、Panorama のオンライン ヘルプを参照してください。
Panorama Web インターフェイスには、以下のタブがあります。
タブ
説明
ダッシュボード
Panorama モデルとネットワーク アクセスの設定に関する一般情報を表示
します。このタブには、アプリケーション、ログ、システム リソース、お
よびシステム設定に関する情報を表示するウィジットが含まれています。
ACC
Panorama が管理対象ファイアウォールから収集した情報に基づいて、
ネットワークの全体的なリスクと脅威レベルを表示します。
モニター
ログおよびレポートを表示および管理します。
Panorama
Panorama の設定、ライセンス管理、高可用性のセットアップ、ソフト
ウェア更新およびセキュリティ アラートへのアクセス、管理アクセスの
管理、導入済みファイアウォールとログ コレクタの管理を行います。
[デバイス グループ] > [ポリシー] 中央管理するポリシーを作成し、複数のファイアウォール / デバイス グ
ループに設定を適用します。
このタブを表示するには、「デバイス グループの追加」を行う必要があ
ります。
[デバイス グループ] > [オブジェ ポリシーで参照され、すべての管理対象ファイアウォール / デバイス グ
クト]
ループで共有することができるポリシー オブジェクトを定義します。
このタブを表示するには、「デバイス グループの追加」を行う必要があ
ります。
[テンプレート] > [ネットワーク] ネットワーク プロファイルなど、管理対象ファイアウォールに適用する
ことができるネットワーク設定を行います。
このタブを表示するには、「テンプレートの追加」を行う必要があります。
[テンプレート] > [デバイス]
サーバー プロファイルや管理者ロールなど、管理対象ファイアウォール
に適用できるデバイス設定を行います。
このタブを表示するには、「テンプレートの追加」を行う必要があります。
Panorama 管理者ガイド
63
Panorama 管理インターフェイスへのアクセスおよびナビゲート
Panorama のセットアップ
Panorama CLI へのログイン
Panorama CLI にログインするには、シリアル ポート接続を使用するか、SSH クライアントを使
用してリモート アクセスします。
Panorama CLI へのログイン
•
SSH を使用して、Panorama CLI にログイ 1.
ンします。
ログ コレクタ モードの M-100 アプ
ライアンスでも、同じ手順を使用
します。
以下のものがあることを確認します。
• Panorama にネットワーク アクセスできるコンピュータ
• Panorama IP アドレス
• 管理インターフェイスで有効化された SSH SSH アク
セスを有効にするには、「（任意）HTTP および SSH
アクセスを有効にします。」を参照してください。
2.
SSH を使用して CLI にアクセスするには、以下の手順
を実行します。
a. SSH クライアントで Panorama IP アドレスを入力し、
ポート 22 を使用します。
b. プロンプトが表示されたら、管理アクセス認証情報
を入力します。正常にログインできると、CLI プロ
ンプトが操作モードで表示されます。例 :
admin@ABC_Sydney>
キーに基づいた認証を有効にするには、「CLI での
SSH キーに基づいた認証の有効化」を参照してく
ださい。
• 設定モードに変更します。
設定モードに切り替えるには、プロンプトで以下のコマ
ンドを入力します。
admin@ABC_Sydney> configure
プロンプトが admin@ABC_Sydney# に変わります。
• シリアル ポート接続を使用して、Panorama 1.
CLI にログインします。
以下のものがあることを確認します。
• DB-9 シリアル ポートを使用して Panorama をコン
ピュータに接続するヌル モデム シリアル ケーブル
• コンピュータで実行中の端末エミュレーション プロ
グラム
64
2.
端末エミュレーション ソフトウェアで、9600 ボー、
8 データ ビット、1 ストップ ビット、パリティなし、
ハードウェア フロー制御なしの設定を使用して接続し
ます。
3.
プロンプトが表示されたら、管理アクセス認証情報を
入力します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
Panorama への管理アクセスのセットアップ
デフォルトでは、Panorama の全機能に読み取りと書き込みのフル アクセス権があるデフォルト
の管理アカウント（admin）が含まれています。ベスト プラクティスとして、Panorama の管理機
能またはレポート機能へのアクセス権を必要とするユーザーごとに別個の管理アカウントを作
成します。これにより、不正な設定（または変更）が回避され、各管理者のアクションのロギ
ングが可能になります。
Panorama では、組織のセキュリティ要件に応じて、アクセスを柔軟に定義および制限できます。
たとえば、データセンター管理者にはすべてのデバイスおよびネットワーク設定へのアクセス
を許可し、セキュリティ管理者にはセキュリティ ポリシー定義、ログ ビューアー、レポートの制
御を許可し、他の主要なユーザーには CLI または XML API アクセスを制限することができます。
ログ コレクタ モードの M-100 アプライアンスには、管理アカウントを追加できません。デ
フォルトのユーザー名 admin のデフォルトの管理ユーザー アカウントのみが使用可能です。
以降のトピックでは、管理アカウントの設定方法と、基本的な管理アクセスのセットアップ方
法を説明します。管理ユーザーの認証に使用できる異なるオプションの詳細は、「管理認証」
を参照してください。

管理アカウントの作成

アクセス ドメインの定義

認証プロファイルの作成

認証シーケンスの定義

管理認証の設定
管理アカウントの作成
管理ユーザーには、アカウントが必要であり、ロールに割り当てる必要があります。ロール
は、関連付けられた管理者の Panorama へのアクセス タイプを定義します。組み込みのダイナ
ミック ロールまたは定義するカスタム ロール（管理者ロール プロファイル）に、管理ユー
ザーを割り当てることができます。ダイナミック ロールではなく管理者ロール プロファイルを
使用する場合は、Web インターフェイス、CLI、および XML API の異なるセクションに付与す
るアクセス タイプ（存在する場合）を定義するプロファイルを、そのロールに割り当てる管理
者ごとに作成します。ロールの詳細は、「管理ロール」を参照してください。
管理ユーザーごとに、パスワード複雑性設定やパスワード プロファイルを定義し、外部認証
サービスを使用する認証プロファイルを使用して管理者の認証情報を確認することもできます。
Panorama でロールベースの管理アクセスを定義する場合、管理者が変更を Panorama にコミット
できるように、[ デバイス グループ ] および [ テンプレート ] ノードへの読み取り専用アクセス
が提供されている必要があります。以前のバージョンの Panorama からアップグレードする場
合、アップグレード プロセスで [ デバイス グループ ] および [ テンプレート ] ノードへの読み取
り専用アクセスが提供されます。
Panorama 管理者ガイド
65
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
以下の例により、ローカル認証でのローカル管理者アカウントの作成方法について説明します。
管理アカウントの作成 : ローカル アカウント / 認証
ステップ 1
管理者ロール プロファイルを 作成するロールごとに以下の手順を実行します。
作成します。
1. [Panorama] > [ 管理者ロール ] の順に選択し、[ 追加 ]
をクリックします。
こ の手 順は、Panorama で使 用
できる組み込みのダイナミッ 2. [Panorama] または [デバイス グループとテンプレート]
を選択して、割り当てる管理権限の範囲を定義しま
ク ロールの代わりにカスタム
す。[Panorama] に定義されたアクセス権限は、管理者が
ロールを使用する場合にのみ
Panorama
にログインするときに適用されます。[ デバイ
必要です。
ス グループとテンプレート ] ロールには、[Panorama]
タブの [管理対象デバイス ]、[ テンプレート ]、[ デバイ
ス グループ ] ノードに対する読み取り専用アクセスが
適用されます。他のすべてのタブへのアクセスは、必
要に応じて変更できます。
ロールベース管理者がデバイス グループやテン
プレートの変更を管理対象ファイアウォールに
コミットするには、[ デバイス グループ ] や [ テ
ンプレート ] ノードへの読み取り専用アクセス
を有効にする必要があります。
3.
[Web UI] または [XML API] タブでは、隣のアイコンを
クリックして必要な設定（[有効化]、[読み取り専用]、
[ 無効化 ]）に切り替えることにより、インターフェイ
スの機能領域ごとにアクセス レベルを設定します。
• Panorama アクセスには、[Web UI]、[XML API]、およ
び [ コマンド行 ] へのアクセスを定義します。[ コマ
ンドライン ] タブでは、きめ細かいアクセスは定義
できません。事前定義されたオプション（[ スーパー
ユーザー]、[スーパーリーダー]、[Panorama 管理]、
または [なし]）を選択する必要があります。
• ファイアウォールへのアクセス（[ デバイス グルー
プとテンプレート ]）には、[Web UI] タブのみが使
用可能です。アクセスを制限する事前定義済みの
ロールがないため、Panorama からファイアウォール
上の CLI または XML API へのアクセスを有効化す
ることはできません。したがって、権限レベルのエ
スカレーションを回避するため、CLI および XML
API へのアクセスの管理機能は、Panorama から使用
できません。
4.
66
プロファイルの [ 名前 ] を入力し、[OK] をクリックし
て保存します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
管理アカウントの作成 : ローカル アカウント / 認証（続き）
ステップ 2
（任意）ローカ ルの ユーザ ー • パスワード プロファイルの作成 — 管理者がパスワード
定義パスワードの要件を設定
を変更しなければならない頻度を定義します。複数のパ
します。
スワード プロファイルを作成し、必要に応じて管理者ア
カウントに適用してセキュリティを強化しきます。パス
ワード プロファイルを作成するには、[Panorama] > [パ
スワード プロファイル] の順に選択し、[追加] をクリッ
クします。
• パスワード複雑性の設定 — パスワードの複雑性を制御す
るルールを定義し、推測や解読が困難で、破られにくい
パスワードを管理者が作成するよう強制します。個々の
アカウントに適用可能なパスワード プロファイルとは異
なり、これらのルールはファイアウォール全体に影響
し、すべてのパスワードに適用されます。設定を行うに
は、[Panorama] > [ セットアップ ] の順に選択し、[ パス
ワード複雑性設定] を編集します。
ステップ 3
ステップ 4
管理者ごとにアカウントを作 1.
成します。
設定の変更を保存します。
Panorama 管理者ガイド
[Panorama] > [ 管理者 ] の順に選択し、[ 追加 ] をク
リックします。
2.
管理者の [名前] と [パスワード] を入力します。
3.
この管理者に割り当てる [ロール] を選択します。事前
定義済みのダイナミック ロールを選択するか、ステッ
プ 1で定義したカスタム ロールに基づいたプロファイ
ルを選択します。
4.
（任意）外部認証サーバーに対して管理ユーザーの認
証情報を確認するために使用する [ 認証プロファイル ]
を選択します。「認証プロファイルの作成」を参照し
てください。
5.
（任意）[ パスワード プロファイル ] を選択します。
「ステップ 2」を参照してください。
6.
[OK] をクリックしてアカウントを保存します。
[ コミット ] をクリックし、[ コミット タイプ ] オプション
に [Panorama] を選択します。
67
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
アクセス ドメインの定義
アクセス ドメインは、指定されたデバイス（ポリシーおよびオブジェクトを管理するため）お
よびテンプレート（ネットワークおよびデバイス設定を管理するため）への管理アクセスを制
限する方法、および管理対象ファイアウォールでコンテキストを Web インターフェイスに切り
替える機能を提供します。アクセス ドメイン設定は、以下の場合にのみ関係します。


[デバイス グループとテンプレート] ロールでカスタム管理者ロール プロファイルが定義され
ている。
管理者の認証に RADIUS サーバーを使用している。アクセス ドメインは、RADIUS ベンダー
固有の属性（VSA）にリンクされます。RADIUS サーバーでは、VSA 属性の番号と値は、管
理ユーザーごとに定義されます。定義された値は、Panorama で設定したアクセス ドメイン
と一致する必要があります。管理者が Panorama にログインしようとすると、管理者のアク
セス ドメインと属性番号が RADIUS サーバーに対してクエリされます。RADIUS サーバーか
らの応答に基づいて、管理者にアクセス権が認証され、アクセス ドメインで指定されるファ
イアウォール / 仮想システム、デバイス グループ、テンプレートに制限されます。サポート
される RADIUS VSA の詳細は、「アカウント認証での RADIUS ベンダー固有属性の使用」を
参照してください。
アクセス ドメインの定義
ステップ 1
アクセス ドメインを作成し
ます。
1.
[Panorama] > [アクセス ドメイン] の順に選択し、[追
加] をクリックします。
2.
ドメインの識別に使用するユーザーの [名前] を入力し
ます。
ステップ 2
ユーザーが管理できるデバイ
ス グループ、テンプレート、
ファイアウォール コンテキス
トを指定します。
[ デバイス グループ ]、[ テンプレート ]、[ デバイス コンテ
キスト ] の各タブで [ 追加 ] をクリックして、表示される
フィルタ処理済みのリストまたはドロップダウンから選
択します。
ステップ 3
設定の変更を保存します。
[ コミット ] をクリックし、[ コミット タイプ ] オプション
に [Panorama] を選択します。
68
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
認証プロファイルの作成
認証プロファイルは、管理者の認証情報を確認する認証サービスを指定し、認証サービスへの
アクセス方法を定義します。ローカル データベース、RADIUS サーバー、Kerberos サーバー、
または LDAP サーバーにアクセスするように Panorama を設定できます。
外部認証サーバーを使用している場合は、認証プロファイルを作成する前にサーバー プロファ
イルを作成します（[Panorama] > [サーバー プロファイル]）。認証サービスにアクセスするに
は、Panorama にサーバー プロファイルが必要です。
認証プロファイルの作成
ステップ 1
ステップ 2
ステップ 3
ステップ 4
ステップ 5
1.
[Panorama] > [認証プロファイル] の順に選択し、[追
加] をクリックします。
2.
認証プロファイルの識別に使用するユーザーの [ 名前 ]
を入力します。
管理ユーザーのロックアウト 1.
条件を定義します。
[ロックアウト時間] に値を入力します。これは、最大
許容ログイン回数に達した場合にユーザーをロックア
ウトする時間（0 ～ 60 分、デフォルトは 0）です。
0 を指定すると、手動でロック解除するまでロックア
ウト状態が続きます。
2.
[許容ログイン回数] に値を入力します。これは、アカ
ウントがロックアウトするまでの最大許容ログイン回
数です（1 ～ 10、デフォルトは 0）。デフォルトの許
容ログイン回数は 0 で、認証が繰り返し失敗しても
ユーザーはロックアウトされません。
認証プロファイルを作成し
ます。
認証を明示的に許可するユー [許可リスト] には、以下のいずれかを選択します。
ザーとグループを指定します。
• すべてのユーザーを許可するには、[All] チェック ボッ
クスをオンにします。
許可リストを認証プロファイ
ル に 追 加 す る こ と で、ユ ー
ザー グループ/ディレクトリの
特定のユーザーに対してアク
セスを制限できます。
• [追加] をクリックし、フィールドに名前の最初の数
文字を入力すると、その文字で始まるユーザーおよ
びユーザー グループがすべて表示されます。必要
な数のユーザー/ ユーザー グループの追加を繰り返
します。
認証サービスを選択し、サー 1.
バー プロファイルを添付し
ます。
2.
[認証] ドロップダウンで、使用する認証のタイプを選
択します。
変更をコミットします。
Panorama 管理者ガイド
[サーバー プロファイル] ドロップダウンで、適切なサー
バー プロファイルを選択します。
[コミット ] をクリックし、[コミット タイプ ] オプションに
[Panorama] を選択します。
69
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
認証シーケンスの定義
認証シーケンスは、複数の認証サービスの使用を許可する認証プロファイルの順序付けされた
リストです。認証シーケンスにより、異なるユーザーおよびユーザー グループに対して複数の
データベースが存在する環境で柔軟性が得られます。認証シーケンスを定義すると、設定済み
の各サーバー プロファイルを順番に使用して Panorama で管理者の認証が試行されます。たとえ
ば、認証シーケンスでは、正常な認証が行われるまで LDAP、RADIUS、ローカル データベース
の順番にチェックされ、認証が失敗した場合は管理者のアクセスを拒否するように Panorama に
指示することができます。
認証シーケンスの定義
ステップ 1
ステップ 2
ステップ 3
70
認証シーケンスを作成します。 1.
[Panorama] > [認証シーケンス] の順に選択し、[追加] を
クリックします。
2.
認証シーケンスの識別に使用するユーザーの [名前] を
入力します。
3.
[追加] をクリックして、管理者の認証情報をチェック
する認証プロファイルの時系列的な順序を選択します。
（任意）管理ユ ーザ ーのロ ッ 1.
クアウト条件を定義します。
[ロックアウト時間] に値を入力します。これは、最大
許容ログイン回数に達した場合にユーザーをロックア
ウトする時間（0 ～ 60 分、デフォルトは 0）です。
0 を指定すると、手動でロック解除するまでロックア
ウト状態が続きます。
2.
[許容ログイン回数] に値を入力します。これは、アカ
ウントがロックアウトするまでの最大許容ログイン回
数です（1 ～ 10、デフォルトは 0）。デフォルトの許容
ログイン回数は 0 で、認証が繰り返し失敗してもユー
ザーはロックアウトされません。
設定の変更を保存します。
[コミット] をクリックし、[コミット タイプ] オプションに
[Panorama] を選択します。
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
管理認証の設定
管理者の認証は、パスワードまたは証明書を使用して Panorama に対してローカルに行うか、外
部認証サーバーに対して行うことができます。
Panorama で管理認証をセットアップするには、以下の 3 つのオプションがあります。

ローカル ユーザー アカウントを作成し、ローカルに認証します。認証は、パスワード、証明
書、またはキーに基づいて実行できます。「管理アカウントの作成」、「Web インターフェ
イスのための証明書に基づいた認証の有効化」、および「CLI での SSH キーに基づいた認証
の有効化」を参照してください。

ローカル ユーザー アカウントを作成しますが、認証プロファイルを使用して外部
RADIUS/LDAP/Kerberos サーバーに対して認証します。

–
[Panorama] > [サーバー プロファイル] ページを使用して、サーバー プロファイルを作
成します。Panorama が通信する必要がある各外部サービスには、サーバー プロファイル
が必要です。Panorama との接続を確立するために必要とされるサーバーの詳細は、使用
する認証サービスによって異なります。
–
認証プロファイルを作成します。「認証プロファイルの作成」を参照してください。
–
（ロールに基づいたアクセスのみ）Panorama またはデバイス グループとテンプレートに
アクセスできるかどうかを指定する管理者ロール プロファイルを定義します。「管理者
ロール プロファイルを作成します。」を参照してください。ダイナミック ロールの場
合は、管理者ロール プロファイルは不要です。
RADIUS ベンダー固有の属性（VSA）を使用して、Panorama への管理アクセスを管理します。
このオプションは、管理ユーザー用に Panorama でローカル アカウントを作成せず、現在の
インフラストラクチャを使用して RADIUS サーバーで認証とパスワードを管理する場合に使
用します。プロセスの概要は、「アカウント認証での RADIUS ベンダー固有属性の使用」を
参照してください。
Web インターフェイスのための証明書に基づいた認証の有効化
より安全な代替手段として、パスワードを使用してユーザーを認証すると、証明書に基づいた
認証が行われ、Panorama へのアクセスがセキュリティ保護されます。証明書に基づいた認証で
は、パスワードの代わりにデジタル シグネチャが交換され、検証されます。
証明書に基づいた認証を有効にするには、（以下の手順の説明に従って）クライアント証明書
プロファイルを使用するように Panorama を設定する必要があります。クライアント証明書プ
ロファイルを有効にすると、各管理者はクライアント証明書を使用して Panorama にアクセス
する必要があります。
証明書に基づいた認証を有効にするには、以下の手順を使用します。この例では、Panorama で
生成された CA 証明書を使用しています。
Panorama 管理者ガイド
71
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
Web インターフェイスのための証明書に基づいた認証の有効化
ステップ 1
ステップ 2
Panorama で CA 証明書を生成し Panorama で CA 証明書を生成するには、以下の手順を実行
します。
ます。
1. Panorama Web インターフェイスにログインします。
信頼されたサードパー
テ ィ ま た は エ ン タ ー プ 2. [Panorama] > [ 証明書の管理 ] > [ 証明書 ] の順に選択
し、[生成] をクリックします。
ライズ CA の証明書を使
用するには、その CA 証 3. [証明書名] を入力します。証明書の [共通名] フィール
明書を Panorama にイン
ドに表示する Panorama の IP アドレスまたは FQDN を
ポートする必要があり
追加します。必要に応じて、暗号設定を変更したり、
ます。
Country、Oganization、Sate などの証明書オプションを
定義したりできます。
4.
[ 署名者 ] オプションは空白のままにし、[ 認証局 ] オプ
ションを選択します。
5.
[生成] をクリックし、上記の手順で指定した詳細を使
用して証明書を作成します。
管理者の認証に使用するクラ 1.
イアント証明書を作成し、エ
クスポートします。
CA 証明書を使用して、指定した管理ユーザーのクライ
アント証明書を生成します。
a. [Panorama] > [証明書の管理] > [証明書] の順に選択
し、[生成] をクリックします。
b. [コモンネーム] フィールドに、証明書を生成する管
理者の名前を入力します。名前の構文は、ローカル
または外部の認証メカニズムで使用されるフォー
マットと一致する必要があります。
c. [ 署名者 ] フィールドで、ステップ 1 で作成した CA
証明書と同じものを選択します。
d. [生成] をクリックして、証明書を作成します。
2.
生成したクライアント証明書をエクスポートします。
a. 生成した証明書を選択し、[エクスポート] をクリッ
クします。
b. 秘密鍵を暗号化するには、[ファイル フォーマット] に
[PKCS12] を選択します。
c. パスフレーズを入力して秘密鍵を暗号化し、入力を
確認します。
d. [OK] をクリックして、証明書をエクスポートします。
72
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
Web インターフェイスのための証明書に基づいた認証の有効化（続き）
ステップ 3
ステップ 4
ステップ 5
管理者アカウントを作成また 1.
は変更し、アカウントでクラ
イアント証明書の認証を有効 2.
にします。
[Panorama] > [管理者] の順に選択し、[追加] をクリッ
クします。
3.
[ クライアント証明書認証のみを使用（Web）] を選択
して、認証での証明書の使用を有効にします。
4.
この管理者に割り当てる [ロール] を選択します。事前
定義済みのいずれかのダイナミック ロールを選択する
か、カスタム ロールを選択して、この管理者のアクセ
ス権限を指定する認証プロファイルを添付します。
5.
（任意）カスタム ロールの場合は、管理ユーザーが変
更できるデバイス グループ、テンプレート、および
ファイアウォール コンテキストを選択します。
6.
[OK] をクリックして、アカウント設定を保存します。
Web インターフェイスへのアク 1.
セスをセキュリティ保護する
ために使用するクライアント 2.
証明書プロファイルを作成し
ます。
3.
認証にクライアント証明書プ 1.
ロファイルを使用するように
Panorama を設定します。
2.
3.
ステップ 6
設定の変更を保存します。
管理者のログイン名を入力します。名前では大文字と
小文字が区別されます。
[Panorama] > [ 証明書の管理 ] > [ 証明書プロファイル ]
の順に選択し、[追加] をクリックします。
証明書プロファイルの名前を入力し、[ユーザー名フィー
ルド] で [サブジェクト] を選択します。
[CA 証明書] セクションで [追加] を選択し、[CA 証明書]
ドロップダウン リストで、作成した CA 証明書を選択
します。
[Panorama] > [セットアップ] タブで、[認証設定] を編
集します。
[証明書プロファイル] フィールドで、作成したクライ
アント証明書プロファイルを選択します。
[OK] をクリックして、変更内容を保存します。
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
デバイスからログアウトされます。
ステップ 7
管理者が Panorama Web インター
フェイスへのアクセスに使用
するクライアント システムの
Web ブラウザに、クライアン
ト証明書をインポートします。
Panorama 管理者ガイド
たとえば、Firefox では以下の手順を実行します。
1. [ツール] > [オプション] > [詳細] の順に選択します。
2.
[証明書を表示] をクリックします。
3.
[自分の証明書] タブを選択して [インポート] をクリッ
クします。クライアント証明書を保存した場所を参照
します。
4.
プロンプトが表示されたら、パスフレーズを入力して
秘密鍵を復号します。
73
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
Web インターフェイスのための証明書に基づいた認証の有効化（続き）
ステップ 8
証明書に基づいた認証が設定 1.
されたことを確認します。
クライアント証明書がロードされたクライアント シス
テムから、Panorama の IP アドレスまたはホスト名に
アクセスします。
2.
プロンプトが表示されたら、ステップ 7 でインポート
したクライアント証明書を選択します。証明書の警告
が表示されます。
3.
証明書を例外リストに追加し、Panorama Web インター
フェイスにログインします。
CLI での SSH キーに基づいた認証の有効化
SSH キーに基づいた認証を有効にするには、管理ユーザーごとに以下の手順を実行します。
CLI での SSH キーに基づいた認証の有効化
ステップ 1
SSH キー生成ツールを使用して、 キー ペアの生成に必要なコマンドは、SSH クライアント
クライアント マシンで非対称 の製品マニュアルを参照してください。
のキー ペアを作成します。
公開鍵と秘密鍵は 2 つの別個のファイルで、どちらのファ
サ ポ ー ト さ れ て い る キ ー イルも Panorama からアクセスできる場所に保存します。
フォーマットは、IETF SECSH セキュリティ強化のため、パスフレーズを入力して、秘
と Open SSH です。サポートさ 密鍵を暗号化します。管理者が Panorama にログインする
れているアルゴリズムは、DSA とき、このパスフレーズの入力プロンプトが表示されます。
（1024 ビット）と RSA（768 ～
4096 ビット）です。
74
Panorama 管理者ガイド
Panorama のセットアップ
Panorama への管理アクセスのセットアップ
CLI での SSH キーに基づいた認証の有効化（続き）
ステップ 2
ステップ 3
管 理 者 の ア カ ウ ン ト を 作 成 1.
し、証明書に基づいた認証を
有効にします。
2.
[Panorama] > [管理者] の順に選択し、[追加] をクリッ
クします。
管理者の [名前] と [パスワード] を入力します。強力/複
雑なパスワードを確実に入力し、それを安全な場所に
保管します。Panorama では、証明書が破損されたかシ
ステム障害が発生した場合にのみ、このパスワードの
入力プロンプトが表示されます。
3.
（任意）[認証プロファイル] を選択します。
4.
[公開鍵認証（SSH）の使用] を有効にします。
5.
[キーのインポート] をクリックし、作成した公開鍵を
参照してインポートします。
6.
この管理者に割り当てる [ロール] を選択します。事前
定義済みのいずれかのダイナミック ロール、またはカ
スタムのロールに基づいたプロファイルを選択できま
す。詳細は、「管理アカウントの作成」を参照してく
ださい。
7.
[OK] をクリックしてアカウントを保存します。
8.
[コミット] をクリックし、[コミット タイプ] オプショ
ンとして [Panorama] を選択します。
SSH クライアントで、Panorama 1.
から表示される公開鍵の認証
に秘密鍵が使用されているこ 2.
とを確認します。
Panorama に対する認証に秘密鍵を使用するよう SSH ク
ライアントを設定します。
3.
プロンプトが表示されたら、キーの作成時に定義した
パスフレーズを入力します。
Panorama 管理者ガイド
Panorama で CLI にログインします。
75
Panorama への管理アクセスのセットアップ
Panorama のセットアップ
アカウント認証での RADIUS ベンダー固有属性の使用
RADIUS VSA を使用するには、以下のタスクを実行します。
アカウント認証での RADIUS ベンダー固有属性の使用
ステップ 1
ステップ 2
Panorama を設定します。
RADIUS サーバーを設定し
1.
RADIUS サーバー プロファイルを設定します
（[Panorama] > [ サーバー プロファイル ] > [RADIUS]
を選択します）。
2.
RADIUS を認証用のプロトコルとして指定する認証プ
ロファイルを作成し、RADIUS サーバー プロファイル
を添付します（[Panorama] > [認証プロファイル]）。
3.
[デバイス グループとテンプレート] ロールを使用し
て カスタム管理ロール プロファイルを作成します
（[Panorama] > [管理者ロール]）。
4.
認証プロファイルを使用して認証するように Panorama
を設定します（[ セットアップ ] > [ 管理 ] > [ 認証プロ
ファイル]）。
5.
（ベンダー固有属性 PaloAlto-Panorama-Admin-Access-Domain
を使用する場合にのみ必須）管理アクセスを特定の管
理対象ファイアウォール、テンプレート、またはデバ
イス グループに制限する場合は、アクセス ドメインを
定義します（[Panorama] > [アクセス ドメイン]）。
1.
Panorama の IP アドレスまたはホスト名を RADIUS ク
ライアントとして追加します。
2.
Panorama でサポートされる VSA を定義します。属性
を定義するには、ベンダー コード（25461）、属性名
（Panorama で定義された管理者ロール プロファイル /
アクセス ドメインの名前と一致していること、大文字
と小文字は区別される）、番号、およびフォーマット
（文字列）を使用します。
• PaloAlto-Panorama-Admin-Role, attribute #3
ます。
• PaloAlto-Panorama-Admin-Access-Domain, attribute #4
RADIUS VSA を使用した認証のセットアップ手順の詳細は、以下のドキュメントを参照してくだ
さい。

Windows 2003 Server、Windows 2008（以降）、および Cisco ACS 4.0 の場合 : 「Radius Vendor Specific
Attributes（VSA）」（英語）

Cisco ACS 5.2: 「Configuring Cisco ACS 5.2 for use with Palo Alto VSA」（英語）
76
Panorama 管理者ガイド
ファイアウォールの管理
Palo Alto Networks のファイアウォールの管理に Panorama を使用するには、ファイアウォールを
管理対象デバイスとして追加し、それらをデバイス グループとテンプレートに割り当てる必要
があります。以下のタスクは、ファイアウォールを初めてデプロイする場合に最適です。作業
に入る前に、「導入計画」の内容を確認してデプロイのオプションについて理解してください。

管理対象デバイスとしてのファイアウォールの追加

デバイス グループの管理

テンプレートの管理

ユース ケース : Panorama を使用したファイアウォールの設定
Panorama Web インターフェイスに [Objects] および [Policies] タブを表示するには、まず
少なくとも 1 つのデバイス グループを作成する必要があります。また、[Network] および
[Device] タブを表示するには、まず少なくとも 1 つのテンプレートを作成する必要がありま
す。これらのタブには、ネットワーク上のファイアウォールを設定して管理するために必要な
設定オプションが含まれています。
すでにネットワーク上にファイアウォールを設定して導入している場合、設定、ローカル ポリ
シー、およびオブジェクトをファイアウォールから中央管理方式に移行するプロセスでは、ス
クリプトの作成方法と、ファイアウォールでの XML API の使用方法を理解している必要があり
ます。この移行を効率よく行うために、移行プロセスの計画、実施、確認の各段階に習熟して
いる、トレーニングと認定を受けたパートナーを利用することをお勧めします。利用可能なサ
ポート サービスの詳細は、正規のリセラーまたはパートナーにお問い合わせください。プロセ
スの概要については「ファイアウォールから Panorama 管理への移行」を、および詳細について
は記事「Panorama Device Migration Tech Note（Panorama デバイス移行技術メモ）」を参照してく
ださい。
Panorama 管理者ガイド
77
管理対象デバイスとしてのファイアウォールの追加
ファイアウォールの管理
管理対象デバイスとしてのファイアウォールの追加
Panorama を使用してファイアウォールの中央管理を行うには、まず、それらのファイアウォール
を管理対象デバイスとして追加します。作業を開始する前に、ファイアウォールのシリアル番
号を収集し、各ファイアウォールを以下のように準備します。

ファイアウォールで初期設定を行い、ネットワーク経由でアクセスし、Panorama と通信できる
ようにします。詳細は、『PAN-OS 管理者ガイド』を参照してください。

[Device] > [セットアップ] > [管理] タブの順に移動し、[Panorama 設定] セクションに Panorama の
IP アドレス（サーバー 1 台、または Panorama が高可用性ペアに設定されている場合は 2 台）を追加
し、変更をコミットします。

データ インターフェイスをセットアップします。使用する予定のインターフェイスごとに、イ
ンターフェイス タイプを選択してセキュリティ ゾーンに適用し、Panorama から設定とポリシー
をプッシュできるようにします。詳細は、『PAN-OS 管理者ガイド』を参照してください。
その後、以下のようにして、Panorama でファイアウォールを管理対象デバイスとして追加でき
ます。
管理対象デバイスとしてのファイアウォールの追加
ステップ 1
デバイスを Panorama に追加し 1.
ます。
2.
[Panorama] > [管理対象デバイス] の順に選択します。
3.
[OK] をクリックします。[管理対象デバイス] ペインに
新規デバイスが表示されます。
4.
（任意）[タグ] を追加します。タグを付けると、長い
リストからデバイスを見つけやすくなり、ファイア
ウォールのリストを動的にフィルタリングして表示を
絞り込むことができます。たとえば、「branch office」
というタグを追加すると、ネットワーク全体から支店
のデバイスすべてを検索できます。
[追加] をクリックし、Panorama を使用して中央管理す
るデバイスごとにシリアル番号を入力します。1 行に
つき 1 エントリのみを追加します。
a. 管理対象デバイスの隣にあるチェック ボックスを
オンにして、[タグ] をクリックします。
b. [ 追加 ] をクリックし、最大 31 文字の文字列（空白
なし）を入力し、[OK] をクリックします。
5.
ステップ 2
78
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
デバイスが Panorama に接続され ファイアウォールがネットワーク上でアクセス可能になっ
ていることを確認します。
ており、Panorama の IP アドレスがデバイスで設定されて
いれば、通常は Panorama からデバイスに接続できます。
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
デバイス グループの管理

デバイス グループの追加

共有またはデバイス グループ ポリシーで使用するオブジェクトの作成

共有オブジェクトの管理

Panorama での URL フィルタリング ベンダーの選択

ファイアウォールのサブセットへのポリシーのプッシュ

ルール階層の管理
デバイス グループの追加
ファイアウォールを追加したら、それらのファイアウォールをデバイス グループにグループ化
することができます。デバイス グループには類似のポリシーやオブジェクトを必要とする 1 つ
以上のファイアウォールまたは仮想システムを含めることができるため、1 つの論理単位とし
て効果的に管理できます。
アクティブ - パッシブの高可用性（HA）設定で設定されているファイアウォールを管理する場
合は、必ず両方のファイアウォールが Panorama の同じデバイス グループに配置されるようにし
ます。これは、同じポリシーやオブジェクトを HA ペアの両方のファイアウォールにプッシュ
するために必要です。Panorama がプッシュしたポリシーは、ファイアウォールの HA ピア間で
は同期されません。
Panorama 管理者ガイド
79
デバイス グループの管理
ファイアウォールの管理
デバイス グループの追加
ステップ 1
1.
[Panorama] > [デバイス グループ] の順に選択し、[追
加] をクリックします。
1 つのデバイスが所属で 2.
きるデバイス グループ
は 1 つのみです。複数の 3.
仮想システムが含まれ
る デ バ イ ス の 場 合、各 4.
仮想システムは別の 1 つ
のデバイス グループに
所属するとができます。
デバイス グループを識別するために、一意の [名前] と
[内容] を入力します。
デバイス グループを作成し
ます。
グループに追加するデバイスを選択するには、フィル
タを使用します。
（任意）HA ペアとしてセットアップされているファイ
アウォールの [HA ピアのグループ化] チェック ボック
スをオンにします。両方のファイアウォールまたは仮
想システムを同じデバイス グループに追加すると、共
有ポリシーおよびオブジェクトを両方のピアに同時に
プッシュできます。
HA ピアをグループ化するには、ファイアウォー
ルで PAN-OS 5.0 以降が実行されている必要があ
ります。
ステップ 2
5.
ポリシーでユーザーまたはグループを使用する予定の
場合は、デバイス グループのマスター デバイスを割
り当てます。マスター デバイスはファイアウォール
（および、デバイス グループ内の唯一のデバイス）で
あり、Panorama は、ポリシー評価で使用するユーザー
名とユーザー グループの情報をそのファイアウォール
から収集します。
6.
[OK] をクリックします。
7.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。Panorama で実行中の設定
に変更を保存します。
8.
[コミット] をクリックし、[コミット タイプ] で [デバイ
ス グループ] を選択します。デバイス グループのデバ
イスに変更をプッシュします。
デバイス グループ内のデバイス • 共有またはデバイス グループ ポリシーで使用するオブ
に対するポリシーの中央管理
ジェクトの作成
を開始します。
• 共有オブジェクトの管理
• Panorama での URL フィルタリング ベンダーの選択
• ファイアウォールのサブセットへのポリシーのプッシュ
• ルール階層の管理
例については、次を参照してください。ファイアウォール
から Panorama 管理への移行。
80
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
共有またはデバイス グループ ポリシーで使用するオブジェクトの作成
オブジェクトとは、IP アドレス、URL、アプライアンス、ユーザーなど個別の ID を、ポリシー適
用で使用できるようにグループ化するコンテナです。Panorama の [Objects] タブを使用して、ア
ドレス/アドレス グループ、領域、ユーザー/ユーザー グループなどのオブジェクトすべてを作
成してコピーできます。これらのポリシー オブジェクトは、すべての管理対象デバイス間で共
有することも、デバイス グループ固有にすることもできます。

共有オブジェクトとは、Panorama で作成される再利用可能なコンポーネントです。すべてのデ
バイス グループ間で共有され、共有ポリシーまたはデバイス グループ ポリシー内で参照で
きます。管理上の負担が軽減され、複数ファイアウォールを設定する場合に一貫性が維持さ
れます。

デバイス グループ オブジェクトは、それ自体が定義されているデバイス グループ固有のオブ
ジェクトです。作成されたデバイス グループ内でのみ使用でき、他のデバイス グループや
共有ルールおよびオブジェクトを設定する場合には表示されません。たとえば、データセン
ター デバイス グループ内に作成された、Web サーバー IP アドレス セットのデバイス グルー
プ オブジェクトは、他のデバイス グループや共有ポリシーで使用することはできません。
共有またはデバイス グループ ポリシーで使用するオブジェクトの作成
• 共有オブジェクトを作成します。
1.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] タブの順に移動し、[ 追加 ] をクリックし
ます。
[Objects] タブが表示されない場合、「管理対象デバ
イスとしてのファイアウォールの追加」を参照してデ
バイス グループを追加します。Panorama Web インター
フェイスでは、デバイス グループが作成されている場
合にのみ、[Objects] タブが表示されます。
2.
[名前] と [内容] を入力します。
3.
[共有] チェック ボックスを選択します。チェック ボッ
クスをオンにしない場合、そのオブジェクトは、現在
[デバイス グループ] ドロップダウンに表示されている
デバイス グループに所属することになります。
4.
通知を受ける [URL カテゴリ] の横にあるチェック ボッ
クスをオンにし、[アクション] 列で [アラート] を選択
して、[OK] をクリックします。
5.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
この例では、アラートのトリガー対象に
する URL フィルタリング カテゴリの共有
オブジェクトを追加します。
Panorama 管理者ガイド
81
デバイス グループの管理
ファイアウォールの管理
共有またはデバイス グループ ポリシーで使用するオブジェクトの作成（続き）
• デバイス グループ オブジェクトを作成し 1.
ます。
こ の 例 で は、ネ ッ ト ワ ー ク 上 の 特 定 の 2.
Web サーバーについてデバイス グループ 3.
オブジェクトを追加します。
4.
[デバイス グループ] ドロップダウンで、このオブジェ
クトを使用する予定のデバイス グループを選択します。
[Objects] > [アドレス] タブの順に選択します。
[アドレス] を選択して、[追加] をクリックします。
[共有] チェック ボックスがオフになっていることを確
認します。
5.
[名前]、[内容] を入力し、アドレス オブジェクトの
[タイプ] をドロップダウンから選択します。たとえば、
[IP 範囲 ] を選択し、アドレス オブジェクトを作成す
る Web サーバーの IP アドレス範囲を含めます。
6.
[OK] をクリックします。
7.
変更をコミットします。
a. [コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。これにより、Panorama
で実行中の設定に変更が保存されます。
b. [コミット] をクリックし、[コミット タイプ] で [デバ
イス グループ ] を選択します。これにより、デバイ
ス グループに含まれるデバイスに変更がプッシュ
されます。
• Panorama 内の共有オブジェクトとデバイス [Objects] タブの [場所] 列に、オブジェクトが共有されて
いるか、デバイス グループに固有かが表示されます。
グループ オブジェクトを表示します。
共有オブジェクトとデバイス グループ オ 1. [ デバイス グループ ] ドロップダウンで、デバイス グ
ループ オブジェクトを作成したデバイス グループを
ブジェクト間の違いを示すために、以下
選択します。
のスクリーンショットには、Panorama で
作成された共有アドレス オブジェクトが 2.
含まれています。
[Objects] > [アドレス] タブの順に選択し、デバイス グ
ループ オブジェクトが表示されることを確認します。
[ 場所 ] 列のデバイス グループ名は [ デバイス グループ ]
ドロップダウンで選択した値と一致します。
[デバイス グループ] ドロップダウンで別のデバ
イス グループを選択した場合、選択したデバイ
ス グループ用に作成されたデバイス グループ
オブジェクト（および共有オブジェクト）のみ
が表示されます。
82
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
共有オブジェクトの管理
Panorama が共有オブジェクトを処理する方法を設定できます。次の条件を検討します。

共有ポリシーまたはデバイス グループ ポリシーのいずれかで参照されている共有オブジェ
クトのみを管理対象デバイスにプッシュするように Panorama を設定するかどうか。たとえ
ば、導入環境内のすべてのオブジェクトが共有オブジェクトとして定義されているが、デバ
イス グループごとに関連オブジェクトのみをプッシュする必要がある場合などです。[未使用
のアドレスとサービス オブジェクトをデバイスと共有] チェック ボックスにより、Panorama
が管理対象デバイスにプッシュするオブジェクトを制限することができます。
デフォルトでは、Panorama はすべての共有オブジェクト（使用と未使用）を管理対象デバイ
スにプッシュします。PA-200 などのローエンドのプラットフォームでは、関連する共有オブ
ジェクトのみを管理対象デバイスにプッシュすることを検討してください。これは、ローエ
ンドのプラットフォームに保存できるオブジェクトの数が、ミドルレンジからハイエンドの
プラットフォームに比べ、大幅に少ないためです。また、未使用のアドレスおよびサービス
オブジェクトの数が多い場合、[ 未使用のアドレスとサービス オブジェクトを共有 ] チェック
ボックスをオフにすると、各デバイスにプッシュされる設定が小さくなるため、デバイスで
のコミット時間が大幅に削減されます。
ただし、このオプションを無効にすると、Panorama でのコミット時間は増加します。これ
は、ポリシーで特定のオブジェクトが参照されるかどうかを Panorama が動的にチェックす
る必要があるためです。
以下の手順を実行して、デバイスに対する未使用のアドレスおよびサービス オブジェクトの共有を
無効にします。
未使用の共有オブジェクトの管理
1.
[Panorama ] > [セットアップ] > [管理] の順に選択し、[Panorama 設定] を編集します。
2.
[未使用のアドレスとサービス オブジェクトをデバイスと共有] チェック ボックスをオフにします。

共有オブジェクトを、デバイス グループ オブジェクトとして同じ名前を持つオブジェクト
よりも優先するかどうか。
デフォルトでは、共有オブジェクトが、共有オブジェクトと同じ名前を持つデバイス グルー
プ オブジェクトをオーバーライドすることはありません。
Panorama で共有オブジェクトとして定義されたオブジェクトへのオーバーライドを防止する場
合、[共有オブジェクトが優先されます] オプションを有効にできます。有効にすると、同じ名
前を持つデバイス グループ オブジェクトはすべて破棄され、共有オブジェクト設定が管理
デバイスにプッシュされます。
以下の手順を実行して、共有オブジェクトがデバイス グループのオブジェクトよりも常に優先され
るようにします。
共有オブジェクトの優先度の管理
1.
[Panorama ] > [セットアップ] > [管理] の順に選択し、[Panorama 設定] を編集します。
2.
[共有オブジェクトが優先されます] チェック ボックスをオンにします。
Panorama 管理者ガイド
83
デバイス グループの管理
ファイアウォールの管理
Panorama での URL フィルタリング ベンダーの選択
URL フィルタリングにより、ユーザーの Web アクセスをモニターおよび制御するようにファイア
ウォールを設定することができます。Web アクセス ルールを実行するポリシー（セキュリ
ティ、QoS、キャプティブ ポータル、および復号化）は URL カテゴリを参照します。Panorama
で選択する URL フィルタリング ベンダーにより、デバイス グループに追加してファイア
ウォールにプッシュするポリシーで参照される URL カテゴリが決まります。
1 つのデバイス（Panorama またはファイアウォール）でアクティブにできる URL フィルタリング
ベンダーは 1 つのみです（PAN-DB または BrightCloud）。ニーズに最適なベンダーを決定する
には、Palo Alto Networks のカスタマー サポートにお問い合わせください。Panorama 用のベン
ダーを選択する場合は、管理対象ファイアウォールのベンダーと PAN-OS バージョンを考慮す
る必要があります。

PAN-OS 5.0.x 以前のバージョン — Panorama およびファイアウォールで、URL フィルタリング
ベンダーが一致している必要があります。

PAN-OS 6.0 以降のバージョン — Panorama およびファイアウォールで、URL フィルタリング
ベンダーが一致している必要はありません。ベンダーの不一致が検出されると、ファイア
ウォールは、Panorama から受信した URL フィルタリングのプロファイルおよびポリシーに
含まれる URL カテゴリを、ファイアウォールで有効にされているベンダーのカテゴリと一
致するカテゴリにマップします。詳細は、記事「BrightCloud to PAN-DB Category Mapping」
（英語）を参照してください。
したがって、一部のファイアウォールで PAN-OS 6.0 が実行され、別の一部のファイアウォール
で以前のバージョンの PAN-OS が実行されているデプロイ環境の場合、Panorama では、以前の
バージョンの PAN-OS が実行されているファイアウォールと同じ URL フィルタリング ベンダー
を使用する必要があります。たとえば、PAN-OS 5.0 が実行されているファイアウォールで
BrightCloud を使用し、PAN-OS 6.0 が実行 されているファイアウォールで PAN-DB（または
BrightCloud）を使用する場合、Panorama では、BrightCloud を使用する必要があります。
ファイアウォールには、BrightCloud と PAN-DB 両方の有効なライセンスを取り込むことがで
きますが、アクティブにすることができるライセンスは 1 つのみです。管理対象ファイア
ウォール上の有効な URL フィルタリングのライセンスを表示するには、[Panorama] > [デバ
イスのデプロイ] > [ライセンス] の順に選択し、対応するファイアウォールの [URL] 列に一
覧表示されたベンダーを確認します。アクティブなライセンス（選択されている URL フィル
タリング ベンダー）を判別するには、ファイアウォールにログインし、[Device] > [ ライセ
ンス ] の順に選択します。ファイアウォールのアクティブな URL フィルタリング ベンダーを
変更するには、『PAN-OS 管理者ガイド』を参照してください。
84
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
Panorama での URL フィルタリング ベンダーの選択
ステップ 1
ステップ 2
Panorama の URL フィルタリン 1.
グ ベンダーを選択します。
[Panorama ] > [セットアップ] > [管理] の順に選択し、
[一般設定] を編集します。
2.
[URL フィルタリング データベース] ドロップダウンで
ベ ン ダ ー（[brightcloud] ま た は [paloaltonetworks]
（PAN-DB））を選択します。
（任意）ポリシ ーで カテゴ リ 1.
が参照できるようになってい
ることを確認します。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング] の順に選択します。
ファイアウォールとは
異なり、Panorama は URL
データベースをダウン
ロ ー ド し な い た め、
データベースのダウン
ロード状態を表示する
ことはできません。
[ 追加 ] をクリックし、[URL フィルタリング プロファ
イル] ダイアログの [カテゴリ] タブにカテゴリが表示
されることを確認します。
ファイアウォールのサブセットへのポリシーのプッシュ
ポリシー ターゲットを使用すると、ポリシーのプッシュ先になるデバイス グループ内のデバイ
スを指定できます。1 つ以上のデバイスまたは仮想システムを除外したり、デバイス グループ
内の特定のデバイスまたは仮想システムにのみルールを適用したりできます。
ポリシーのターゲットを指定する機能によって、Panorama によるポリシーの中央管理を維持
し、ルールの管理を可視化および効率化できます。デバイスや仮想システム上にローカル ルー
ルを作成するのではなく、ポリシーのターゲットを指定することで、Panorama にルール（共有
またはデバイス グループのプレ ルールまたはポスト ルール）を定義できます。
Panorama 管理者ガイド
85
デバイス グループの管理
ファイアウォールの管理
ファイアウォールのサブセットへのポリシーのプッシュ
ステップ 1
ポリシーを作成します。
1.
ポリシーを定義する [デバイス グループ] を選択します。
2.
[Policies] タブを選択し、ポリシーを作成するルールベー
スを選択します。たとえば、[ セキュリティ] ポリシー
ル ー ル ベ ー ス で、内 部 ネ ッ ト ワ ー ク の ユ ー ザ ー に
DMZ のサーバーへのアクセスを許可するプレ ルール
を定義します。
a. [Policies] > [セキュリティ] > [プレ ルール] の順に選
択し、[追加] をクリックします。
b. [全般] タブで、分かりやすいルール名を入力します。
c. [送信元] タブで [送信元ゾーン] を [Trust] に設定し
ます。
d. [宛先] タブで [宛先ゾーン] を [DMZ] に設定します。
e. [サービス/URL カテゴリ] タブで、[サービス] を
[application-default] に設定します。
f. [アクション] タブで、[アクション] を [許可] に設定
します。
g. それ以外のオプションは、すべてデフォルト値にし
ておきます。
86
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
ファイアウォールのサブセットへのポリシーのプッシュ（続き）
ステップ 2
ポリシーのターゲットを指定 選択したデバイスのセットにポリシーを適用するには、
して、デバイスのサブセット 以下の手順を実行します。
を含めるか、除外します。
1. [ポリシー ルール] ウィンドウで [ターゲット] タブを選
択します。
2.
ルールを適用するデバイスを選択します。
ターゲット デバイスを選択しない場合、ポリシーはデ
バイス グループの（オフになっている）すべてのデバ
イスに追加されます。
デフォルトでは、[デバイス グループ] の仮想シ
ステムのチェック ボックスがオフになっていて
も、コミット時にすべての仮想システムがルー
ルを継承します。ルールを適用する 1 つ以上の仮
想システムのチェック ボックスをオンにします。
3.
（任意）デバイスのサブセットをポリシー ルールの継
承から除外するには、[指定したデバイスを除くすべて
にインストール] チェック ボックスをオンにします。
[指定したデバイスを除くすべてにインストール]
をオンにして、デバイスを選択しない場合、ポ
リシーはデバイス グループのどのデバイスにも
追加されません。
4.
[OK] をクリックします。
5.
設定の変更を保存します。
a. [コミット] をクリックし、[コミット タイプ] として
[Panorama] を選択して、Panorama で実行中の設定
に変更を保存します。
b. [コミット] をクリックし、[コミット タイプ] として
[ デバイス グループ ] を選択して、デバイス グルー
プの選択されたデバイスに変更をプッシュします。
ルール階層の管理
ポリシー ルールの順序は、ネットワークをセキュリティ保護する場合に重要です。ファイア
ウォールは、Web インターフェイスの [Policies] タブに表示されるルールの表示順で、上位から
下位の順にルールを評価します。ファイアウォールは、定義済みの基準を満たす最初のルール
に対してパケットを照合し、それ以降のルールについては評価しません。そのため、より具体
的なルールが一般的なルールよりも上位になるようにして、最も具体的に一致するルールが適
用されるようにする必要があります。
Panorama でルールをプレビュー モードで表示すると（以下の手順でのステップ 1）、すべての共
有ルール、デバイス グループ ルール、およびファイアウォールが Panorama から継承するデ
フォルトのルールは緑色で表示され、ローカルのファイアウォールのルールはプレルールとポ
ストルールの間に青色で表示されます。
Panorama 管理者ガイド
87
デバイス グループの管理
ファイアウォールの管理
図 : ルール階層
ルールの順序を確認し、必要に応じて変更するには、以下の手順を使用します。
ルール階層の管理
ステップ 1
各ルールベースのルール階層 1.
を表示します。
[Policies] タブを選択し、[ルールのプレビュー] をク
リックします。
2.
以下のフィルタを使用し、[ ルールの一括プレビュー]
ウィンドウでルールをプレビューします（「図 : ルー
ル階層」を参照）。
• ルールベース — [セキュリティ]、[NAT]、[QoS]、[ポ
リシー ベース フォワーディング ]、[ 復号 ]、[ キャプ
ティブ ポータル]、[アプリケーション オーバーライ
ド]、[Dos プロテクション] のいずれかのルールベー
スを選択し、そのルールベースに定義されたルール
を表示します。
• デバイス グループ — 選択したルールベースについ
て、すべての [共有] ポリシーを表示するか、特定の
[デバイス グループ] を選択し、Panorama から継承し
たポリシーとローカルに定義したポリシーを結合し
たリストを表示することができます。
• デバイス — 選択した [ルールベース] と [デバイス グ
ループ ] について、デバイス グループ内の特定の
ファイアウォールで評価されるポリシーのリストを
表示できます。
3.
88
プレビュー モードを終了するには、[ ルールの一括プ
レビュー] ウィンドウを閉じます。
Panorama 管理者ガイド
ファイアウォールの管理
デバイス グループの管理
ルール階層の管理（続き）
ステップ 2
（任 意）ル ー ル を 削 除 す る [Policies] タブを選択し、以下のオプションのいずれかを
実行します。
か、または無効にします。
ファイアウォールで使用 • 未使用のルールを削除するには、そのルールを選択して
[削除] をクリックします。
されていないルールを判
別するには、個々のファ • ルールを無効にするには、ルールを選択して [無効化] を
イアウォールのコンテキ
クリックします。無効にされたルールは、斜体文字で表
ストにアクセスする必要
示されます。
があります。Panorama か
らこの操作を行うには、
[コンテキスト] ドロップ
ダウンでファイアウォー
ル を 選 択 し、[Policies]
タブを選択して、[使用さ
れていないルールの強調
表示 ] をオンにします。
背景がオレンジ色で網掛
けされている場合、その
ルールはファイアウォー
ルで現在使用されていな
いことを示します。
ステップ 3
ステップ 4
必要に応じて、選択したプレ 1.
ルールまたはポスト ルールの 2.
ルールベース内でルールの位
置を変えます。
ルールベース内で、移動するルールを選択します。
ルールを変更した場合は、変 1.
更を保存します。
[コミット] をクリックし、[コミット タイプ] として
[Panorama] を選択して、Panorama で実行中の設定に
変更を保存します。
2.
[コミット] をクリックし、[コミット タイプ] として [デ
バイス グループ] を選択して、デバイス グループ内の
選択したファイアウォールに変更をプッシュします。
Panorama 管理者ガイド
ルールの順序を変えるには、[ 上へ ]、[ 下へ ]、[ 最上部
へ]、または [最下部へ] オプションをクリックします。
ファイアウォールでのローカル ルールの位置を
再配列するには、ローカル ファイアウォールの
コンテキストに切り替えます。
89
テンプレートの管理
ファイアウォールの管理
テンプレートの管理
Panorama テンプレートを使用すると、管理対象ファイアウォールの [Device] タブと [Network]
タブの設定オプションを管理できます。テンプレートを使用して、新しいファイアウォールを
中央からステージングするための基本設定を定義し、その後で必要に応じて設定にデバイス固
有の例外を作成できます。たとえば、テンプレートを使用して、デバイスへの管理アクセスの
定義、User-ID のセットアップ、証明書の管理、高可用性ペアのファイアウォールの設定、ログ
設定の定義、および管理対象ファイアウォールでのサーバー プロファイルの定義を行うことが
できます。
テンプレートを作成するときには、必ず類似のデバイスを同じテンプレートに割り当てます。
たとえば、1 つの仮想システムを持つデバイス、複数の仮想システムが有効なデバイス、非常
に類似したネットワーク インターフェイスとゾーン設定が必要なデバイスはそれぞれ同じテン
プレートにグループ化します。
テンプレートを削除するには、まず管理対象ファイアウォールでテンプレート設定の無効化 /
削除を行う必要があります。
以下のトピックでは、テンプレートの使用方法について詳しく説明します。

テンプレートの機能および例外

テンプレートの追加

ファイアウォールがテンプレートから仮想システムを受け入れるときのプロセス

テンプレート設定のオーバーライド

テンプレート設定の無効化 / 削除
テンプレートの機能および例外
Panorama のテンプレートには、管理対象ファイアウォールで実行されている PAN-OS リリースに
応じて、以下の機能と例外があります。
ファイアウォールの
PAN-OS リリース
テンプレートの機能および例外
PAN-OS 4.x
Panorama のテンプレートは、以下のタスクでのみ使用することができます。
• 応答ページを作成する
• 認証プロファイルおよびシーケンスを定義する
• Panorama で自己署名証明書を作成する、または証明書をインポートする
• クライアント認証証明書（Panorama 5.0 以降では証明書プロファイル）を作
成する
• サーバー プロファイルを作成する（SNMP トラップ、Syslog、電子メール、
NetFlow、RADIUS、LDAP、Kerberos）
90
Panorama 管理者ガイド
ファイアウォールの管理
テンプレートの管理
ファイアウォールの
PAN-OS リリース
テンプレートの機能および例外
PAN-OS 5.x 以降
テンプレートを使用してさまざまな設定を定義することができますが、以下
のタスクは実行できません。これらのタスクは、各管理対象ファイアウォー
ルでローカルに実行する必要があります。
• テンプレートを使用して、マルチ vsys モード、FIPS モード、CC モードなど
の操作モード有効にする。
• ファイアウォール HA ペアの IP アドレス（HA1 ピアの IP アドレス、HA1
バックアップ ピアの IP アドレス、HA2 ピアの IP アドレス、HA2 バック
アップ ピアの IP アドレス）を設定する。
• マスター キーおよび診断を設定する。
• 設定ファイルを比較する（設定監査）。
• 仮想システムを設定する（vsys）。
• 共有ゲートウェイを設定する。
• ログをクリアする。
ソフトウェアの更新をファイアウォールにデプロイするか、ファイア
ウ ォ ー ル の ラ イ セ ン ス を 管 理 す る に は、テ ン プ レ ー ト で は な く、
[Panorama] タブのオプションを使用します。
テンプレートの追加
Panorama にテンプレートを追加するまで、ネットワーク セットアップ要素やデバイス設定要素を
ファイアウォールに定義するために必要な [Device] タブと [Network] タブは表示されません。
新しいテンプレートを追加するには、以下の手順に従います。
テンプレートを削除するには、管理対象デバイスでローカルにテンプレートを無効にする必要
があります。テンプレートを無効にするには、デバイスのスーパーユーザー権限が必要です。
Panorama 管理者ガイド
91
テンプレートの管理
ファイアウォールの管理
テンプレートの追加
ステップ 1
92
[Panorama] > [テンプレート] の順に選択します。
[追加] をクリックし、テンプレートを識別するための
一意の名前と説明を入力します。
3. （任意）マルチ -vsys 対応で、マルチ -vsys 機能が有効
なデバイスの場合、このテンプレートを使用するには
[仮想システム] チェック ボックスをオンにします。
マルチ-vsys 対応ではないか、マルチ-vsys 機能が
有効ではないデバイスにマルチ-vsys 機能を持つ
デバイスで有効なテンプレートがプッシュされ
ると、コミットが失敗します。
4. テンプレートを適用するデバイスの [操作モード] を指
定します。デフォルトは [通常] ですが、必要に応じて
[CC] または [FIPS] に変更します。テンプレートに指
定した操作モードと、テンプレートに含まれるデバイ
スで有効な操作モードが一致しない場合、テンプレー
トのコミットは失敗します。
5. （任意）モデル名に -NV インジケータが含まれるハー
ドウェア モデルのテンプレートを作成する場合は
[VPN 無効モード] を選択します。これらのモデルは、
VPN 接続を許可しない国で VPN 設定ができないよう
にハード コードされています。
6. このテンプレートを使用する予定の [デバイス]（ファ
イアウォール）を選択します。ファイアウォールは個
別に選択する必要があります。
新しい管理対象ファイアウォールを Panorama に
追加するたびに、そのファイアウォールを適切
なテンプレートに割り当てる必要があります。
Panorama によって新しいファイアウォールが自
動的に割り当てられることはありません。テン
プレートのコミットを実行すると、Panorama は、
テンプレートに割り当てられているすべてのファ
イアウォールにその設定をプッシュします。
7. （任意）高可用性（HA）ペアとしてセットアップさ
れているファイアウォールの [HA ピアのグループ化]
チェック ボックスをオンにします。
PAN-OS は、HA ピア間で一部の設定（すべて
の設定ではない）を同期します。アクティブ /
パッシブ HA の場合は、[HA ピアのグループ化]
をオンにして両方が設定を受信するようにしま
す。アクティブ/アクティブ HA の場合、[HA ピ
アのグループ化 ] をオンにするかどうかは、各
ピアが同じ設定を受信する必要があるかどうか
によって決まります。HA 同期に含まれている
設定と除外されている設定の一覧については、
「High Availability Synchronization」（英 語）を 参
照してください。
8. [OK] をクリックします。
9. [コミット] をクリックし、[コミット タイプ] として
[Panorama] を選択して、Panorama で実行中の設定に
変更を保存します。
10. [コミット] をクリックし、[コミット タイプ] として [テ
ンプレート ] を選択して、テンプレートに含まれるデ
バイスに変更をプッシュします。
新しいテンプレートを追加し 1.
2.
ます。
Panorama 管理者ガイド
ファイアウォールの管理
テンプレートの管理
テンプレートの追加（続き）
ステップ 2
テンプレートが使用できるこ 最初のテンプレートを追加すると、[Device] タブと
とを確認します。
[Network] タブが Panorama に表示されます。
[Network] タブと [Device] タブに [テンプレート] ドロップ
ダウンが表示されます。新しく追加したテンプレートが
ドロップダウンに表示されることを確認します。
ステップ 3
ステップ 4
テンプレートを使用して設定 テンプレート内のデバイスのプライマリ DNS サーバーを
定義する基本設定を指定しましょう。
変更を適用します。
1. [テンプレート] ドロップダウンで、設定するテンプレー
トを選択します。
2.
[Device] > [セットアップ] > [サービス] の順に選択し、
[サービス] セクションを編集します。
3.
テンプレートを使用し
4.
て仮想システムをプッ
シ ュ す る 場 合 は、
「フ ァ イ ア ウ ォ ー ル が
テ ン プ レ ー ト か ら 仮 想 5.
システムを受け入れる
と き の プ ロ セ ス」を 参
照してください。
[プライマリ DNS サーバー] の IP アドレスを入力します。
デバイスが、Panorama からプッ 1.
シュしたテンプレート設定を
使用して設定されていること 2.
を確認します。
Panorama 管理者ガイド
[コミット] をクリックし、[コミット タイプ] として
[Panorama] を選択して、Panorama で実行中の設定に
変更を保存します。
[コミット] をクリックし、[コミット タイプ] として [テ
ンプレート ] を選択して、選択したテンプレートに含
まれるデバイスに変更をプッシュします。
テンプレートを使用して設定をプッシュしたファイア
ウォールのデバイス コンテキストに切り替えます。
[Device] > [セットアップ] > [サービス] の順に移動し
ます。テンプレートを使用してプッシュした IP アド
レスが表示されます。テンプレート アイコンも表示さ
れます。
93
テンプレートの管理
ファイアウォールの管理
ファイアウォールがテンプレートから仮想システムを受け入れるときのプ
ロセス
Panorama では、テンプレートを使用して仮想システムを設定し、その設定をテンプレートから
管理対象ファイアウォールにプッシュする機能がサポートされています。ファイアウォールが
テンプレートの vsys 設定を受信するときのプロセスを以下に示します。
ファイアウォールがテンプレートから仮想システムを受け入れるときのプロセス
1.
ファイアウォールでは、Panorama からの設定にある vsys 名を見つけます。Panorama 設定内の vsys 名
がファイアウォール上の vsys 名と一致する場合、ファイアウォールの vsys は Panorama からプッシュ
された設定を受信します。
2.
vsys 名が一致しない場合、ファイアウォールは Panorama での vsys ID を見つけ、名前のないファイア
ウォール vsys の一致する vsys ID を検索します。名前のない vsys に一致 ID がある場合、その vsys
は、Panorama からプッシュされた名前と設定を受信します。
3.
一致する vsys ID が見つからない場合、ファイアウォールは、Panorama からプッシュされた名前と設
定で新しい vsys を作成します。ファイアウォールは、次に使用可能な vsys ID を新しい vsys に割り当
てます。
たとえば、ファイアウォールは、次のようにして Finance（ID が 3）と命名されたテンプレート
定義 vsys を受信します。
1. ファイアウォールは、Finance という名前の vsys を見つけることができない場合、ID が 3 の名
前のない vsys を検索します。
2. ID が 3 の名前のない vsys が存在しない場合、ファイアウォールは、Panorama は、Finance とい
う名前の新しい vsys を作成し、次に使用可能な ID を割り当てます。
テンプレート設定のオーバーライド
テンプレートを使用すると、複数のファイアウォールに適用可能な基本設定を作成できます
が、テンプレート内のすべてのファイアウォールには適用できないデバイス固有の設定が必要
な場合もあります。テンプレートのオーバーライドを使用すると、導入ニーズに合わせた例外
や変更が可能です。たとえば、テンプレートを使用して基本設定を作成したが、テスト ラボ環
境の数台のファイアウォールは、DNS サーバーの IP アドレスまたは NTP サーバーに異なる設
定が必要な場合、テンプレートに定義した設定をオーバーライドできます。
テンプレート設定のオーバーライド
ステップ 1
94
管理対象デバイスの Web イン ファイアウォールの IP アドレスを直接起動するか、Panorama
ターフェイスにアクセスし
のデバイス コンテキストに切り替えることができます。
ます。
Panorama 管理者ガイド
ファイアウォールの管理
テンプレートの管理
テンプレート設定のオーバーライド（続き）
ステップ 2
デバイスの変更が必要な設定 1.
に 移動し ます。この例 では、
テンプレートの追加でテンプ 2.
レートを使用して割り当てた
DNS サーバーの IP アドレスを
オーバーライドします。
3.
[Device] > [ セットアップ ] > [ サービス ] の順に移動
し、[サービス] セクションを編集します。
プライマリ DNS サーバーの IP アドレスとして定義さ
れている値をオーバーライドするには、テンプレート
アイコン（緑色の歯車）をクリックします。
[プライマリ DNS サーバー] に新しい値を入力します。
テンプレート オーバーライド アイコン（緑色の歯車
の上に黄色の歯車が重なったアイコン）が表示され、
Panorama がテンプレートを使用してプッシュした値が
ファイアウォールで変更されていることが示されます。
4.
[OK] をクリックします。
5.
[コミット] をクリックして、変更をデバイスに保存し
ます。
テンプレート設定の無効化 / 削除
管理対象デバイス上の設定の管理にテンプレートを使用することを停止する場合は、テンプレー
トを無効にできます。テンプレートを無効にすると、テンプレート設定をローカル デバイス設定
にコピーするか、以前テンプレートを使用してプッシュした値を削除するかを選択できます。
テンプレート設定を無効にするには、スーパーユーザー権限が必要です。
テンプレート設定の無効化 / 削除
1.
管理対象ファイアウォールの Web インターフェイスにアクセスします。ブラウザの URL フィールド
に IP アドレスを入力して直接アクセスするか、[コンテキスト] ドロップダウンでファイアウォール
を選択することができます。
2.
[Device] > [セットアップ] > [管理] の順に選択し、[Panorama 設定] を編集します。
3.
[デバイスとネットワーク テンプレートを無効にする] を選択します。
4.
（任意）ファイアウォールに設定をローカルに保存するには、[ 無効にする前にデバイスとネットワー
ク テンプレートをインポート] を選択します。このオプションを選択しない場合、PAN-OS は、Panorama
がプッシュした設定すべてをデバイスから削除します。
5.
[OK] を 2 回クリックし、[コミット] をクリックして変更を保存します。
Panorama 管理者ガイド
95
ファイアウォールから Panorama 管理への移行
ファイアウォールの管理
ファイアウォールから Panorama 管理への移行
これまで Palo Alto Networks ファイアウォールを導入し、ローカルに設定していて、新たに
Panorama を使用した中央管理を開始する場合、移行前の計画、実施、移行後の確認タスクを実
行する必要があります。この概要では、中央管理への移行を計画、実施、および検証するため
に必要となる重要なタスクのすべてを取り上げているわけではありません。概要レベルでは以
下の計画および設定アクティビティがあります。

Panorama で、デバイスを追加してデバイス グループを作成し、類似のロールまたは機能を実
行するか、類似の特性を持つファイアウォールまたは仮想システムを論理的にグループ化
します。

デバイス グループごとに共通のゾーンを作成します。デバイス グループ内のすべてのデバ
イスと仮想システムに共通のゾーン命名戦略を決めます。たとえば、支店 LAN と WAN と
いう 2 つのゾーンがある場合、Panorama は、ポート/メディア タイプ、プラットフォーム、
論理アドレス スキーマの違いを意識せずに、中央からそれらのゾーンを参照するポリシー
をプッシュできます。デバイス グループまたはテンプレートに変更をコミットするには、
事前に、各管理対象デバイス上にゾーンを作成する必要があります。Panorama は、デバイ
スからゾーン名や設定をポーリングできません。

各デバイスに Panorama との通信を設定します。各デバイスに Panorama の IP アドレス（プラ
イマリおよびセカンダリ Panorama）を定義する必要があります。

デバイス グループを使用して、類似の機能を持つデバイスの共通ポリシーを作成し、テンプ
レートを使用して管理対象デバイスの共通基本設定を定義します。

ローカル ルールと、共通ポリシーおよび設定へのデバイス固有の例外をどのように管理する
かを決定します。ローカルに設定したルールをデバイスで使用する予定の場合は、ルール
の名前を一意にしてください。確実に一意にするには、既存ルールすべてにサフィックス
またはプレフィックスを追加することをお勧めします。

ローカル セキュリティ ポリシー内のすべての「拒否ルール」を削除し、Panorama のポスト
ルールを使用することを検討します。この方法では、一時的にローカル ルールを無効にし
て、Panorama からプッシュした共有ポスト ルールをテストできます。その後、ポスト ルー
ルをテストし、必要に応じて調整して、デバイス上でのローカル管理をなくします。

ファイアウォールが、Panorama からプッシュされた設定を使用して、ローカル設定の場合と
同程度の効率で機能することを検証します。
XML API を使用して実行する移行についての詳細は、「Panorama Device Migration Tech Note（Panorama
デバイス移行技術メモ）」を参照してください。XML API を使用している場合は、Palo Alto
Networks テクニカル サポートが問題の解決を支援することはないため、XML API のスクリプト
または使用の経験がない場合は、Palo Alto Networks プロフェッショナル サービスに問い合わ
せ、ファイアウォール移行プロセスについて理解してください。
96
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
ユース ケース : Panorama を使用したファイアウォールの
設定
Panorama を 高可用性設定で使用して、ネットワーク上の 12 台のファイアウォールを管理する
とします。6 つの支店にファイアウォール 6 台、2 つのデータセンターそれぞれに高可用性設定
のファイアウォールを 2 台ずつ、2 つの地域本部にファイアウォール 1 台ずつが導入されています。
中央管理戦略を作成するための最初のステップでは、ファイアウォールをデバイス グループと
テンプレートにグループ化して Panorama から設定を効率よくプッシュする方法を決定します。
グループ化の基準は、ファイアウォールの業務上の機能、地理的な場所、または管理ドメイン
にすることができます。この例では、2 つのデバイス グループと 3 つのテンプレートを作成
し、Panorama を使用してデバイスを管理します。

デバイス グループ

テンプレート

中央管理設定とポリシーのセットアップ
Panorama 管理者ガイド
97
ユース ケース : Panorama を使用したファイアウォールの設定
ファイアウォールの管理
デバイス グループ
この例では、ファイアウォールが実行する機能に基づいて、以下の 2 つのデバイス グループを
定義することにします。

DG_BranchAndRegional には、支店と地域本部でセキュリティ ゲートウェイとして機能するデ
バイスをグループ化します。類似の機能を持つデバイスには類似のポリシー ルールベースが
必要であるため、支店のファイアウォールと地域本部のファイアウォールは同じデバイス グ
ループに入れます。

DG_DataCenter には、データセンターのサーバーを保護するデバイスをグループ化します。
これで、両方のデバイス グループ間の共有ポリシーと、地域本部グループと支店グループの個
別のデバイス グループ ポリシーを管理できます。柔軟性を高めるために、地域本部または支店
のローカル管理者は、特定の送信元、宛先、およびサービス フローに一致するローカル ルール
を作成して、そのオフィスで必要なアプリケーションとサービスにアクセスすることができま
す。この例では、以下のセキュリティ ポリシーの階層を作成します。他のルールベースにも類
似の方法を使用できます。
98
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
テンプレート
デバイスをテンプレートにグループ化する場合は、ネットワーキング設定の違いを考慮に入れ
る必要があります。たとえば、インターフェイス設定が異なる場合、つまり、インターフェイ
スのタイプ、使用するインターフェイスの採番体系やリンク機能、ゾーン インターフェイス間
のマッピングが異なる場合、デバイスは別のテンプレートに分ける必要があります。さらに、
デバイスは地理的に広範囲にわたって設置されているため、ネットワーク リソースへのアクセ
ス設定も異なる場合があります。たとえば、デバイスがアクセスする DNS サーバー、Syslog
サーバー、ゲートウェイが異なる可能性があります。そのため、最適な基本設定を可能にする
には、デバイスを以下のように別個のテンプレートに分ける必要があります。

支店のデバイスは T_Branch

地域本部のデバイスは T_Regional

データセンターのデバイスは T_DataCenter
ファイアウォールをアクティブ / アクティブの HA 設定で導入する計画の場合は、HA ペアの各ファイアウォー
ルを別個のテンプレートに割り当てます。これにより、ピアごとに別個のネットワーク設定を柔軟にセット
アップできます。たとえば、ピアごとにテンプレートを分けてネットワーク設定を管理し、それぞれが北方向
ルーターと南方向ルーターに別個に接続したり、異なる OSPF または BGP ピア設定を使用したりできます。
中央管理設定とポリシーのセットアップ
上のトピック（「ユース ケース : Panorama を使用したファイアウォールの設定」以降）で説明
されている例を使用し、以下のタスクを実行してファイアウォールを一元的にデプロイして管
理します。

タスク 1 — 管理対象デバイスとしてファイアウォールを追加し、コンテンツ更新と PAN-OS ソ
フトウェア更新をそれらのファイアウォールにデプロイします。

タスク 2 — テンプレートを使用して基本設定を管理します。
Panorama 管理者ガイド
99
ユース ケース : Panorama を使用したファイアウォールの設定
ファイアウォールの管理

タスク 3 — ファイアウォールでのポリシーの管理にデバイス グループを使用します。

タスク 4 — ルールをプレビューし、Panorama、デバイス グループ、およびテンプレートに変更
をコミットします。
コンテンツ更新と PAN-OS ソフトウェア更新の管理対象ファイアウォールへのデプロイ
タスク 1
管理対象デバイスとしてファイアウォールを追加し、コンテンツ更新と PAN-OS ソフトウェア更新をそ
れらのファイアウォールにデプロイします。最初に、アプリケーションまたはアプリケーションおよび
脅威データベースをインストールし、次にアンチウイルスをインストールして、最後にソフトウェア
バージョンを更新します。脅威防御サブスクリプションを購入している場合は、コンテンツ データベー
スとアンチウイルス データベースを使用できます。
1.
Panorama で管理するファイアウォールごとに、タスク「管理対象デバイスとしてのファイアウォー
ルの追加」を実行します。
2.
コンテンツ更新をファイアウォールにデプロイします。
a. [Panorama] > [デバイスのデプロイ] > [ダイナミック更新] の順に選択します。
b. [今すぐチェック] をクリックして最新の更新があるかどうか確認します。[アクション] 列の値が [ダ
ウンロード] の場合は、入手可能な更新があることを示します。
c. [ダウンロード] をクリックします。ダウンロードが完了すると、[アクション] 列の値が [インストー
ル] になります。
d. [アクション] 列で [インストール] をクリックします。この更新をインストールする管理対象ファ
イアウォールを選択するには、フィルタまたはユーザー定義タグを使用します。
e. [OK] をクリックし、各ファイアウォールのコンテンツ更新の状態、進捗、および結果をモニター
します。[結果] 列には、インストールの成功または失敗が表示されます。
Panorama で実行されるすべてのタスクの状態または進捗をレビューする方法については、
「Panorama のタスク完了履歴の表示」を参照してください。
100
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
コンテンツ更新と PAN-OS ソフトウェア更新の管理対象ファイアウォールへのデプロイ（続き）
3.
ソフトウェア更新をファイアウォールにデプロイします。
a. [Panorama] > [デバイスのデプロイ] > [ソフトウェア] の順に選択します。
b. [今すぐチェック] をクリックして最新の更新があるかどうか確認します。[アクション] 列の値が [ダ
ウンロード] の場合は、入手可能な更新があることを示します。
c. 各ハードウェア モデルに必要なバージョンを見つけ、[ダウンロード] をクリックします。ダウン
ロードが完了すると、[アクション] 列の値が [インストール] になります。
d. [アクション] 列で [インストール] リンクをクリックします。このバージョンをインストールする
管理対象ファイアウォールを選択するには、フィルタまたはユーザー定義タグを使用します。
e. [ インストール後にデバイスを再起動 ] または [ デバイスへのアップロードのみ（インストールし
ない）] チェック ボックスをオンにして、[OK] をクリックします。[結果] 列には、インストール
の成功または失敗が表示されます。
テンプレートを使用した基本設定の管理
タスク 2
テンプレートを使用して基本設定を管理します。
1.
テンプレートごとにタスク「テンプレートの追加」を実行し、適切なファイアウォールを各テンプ
レートに割り当てます。
2.
DNS サーバー、NTP サーバー、およびログイン バナーを定義します。各テンプレートでこの手順
を繰り返します。
a. [Device] タブで、ドロップダウンから [テンプレート] を選択します。
b. [セットアップ] > [サービス] の順に選択し、[サービス] セクションを編集します。このタブで、[プ
ライマリ DNS サーバー] と [プライマリ NTP サーバー] の IP アドレスを入力します。
c. ログイン バナーを追加するには、[Device] > [セットアップ] > [管理] の順に選択し、[一般設定] セ
クションを編集します。このセクションで、[ ログイン バナー] のテキストを追加し、[OK] をク
リックします。
d. Syslog サーバーを追加するには、[Device] > [サーバー プロファイル] > [Syslog] の順に選択し、[追加]
をクリックして、プロファイルの [名前] を入力します。また、[追加] をクリックして Syslog サー
バーへの接続に必要な情報を以下のようにして指定します。同じプロファイルには、サーバーを
4 つまで追加できます。サーバーを追加する操作が終了したら、[OK] をクリックしてサーバーの
プロファイルを保存します。
– 名前 — サーバー プロファイルの一意の名前。
– サーバー — Syslog サーバーの IP アドレスまたは完全修飾ドメイン名（FQDN）。
– ポート — Syslog メッセージの送信に使用するポート番号（デフォルトは 514）。Panorama と Syslog
サーバーで同じポート番号を使用する必要があります。
– ファシリティ — Syslog の標準値のいずれかを選択します。実装されている Syslog サーバーの優先
度（PRI）フィールドの計算で使用されます。PRI フィールドを使用して Syslog メッセージを管
理する方法に対応する値を選択する必要があります。
Panorama 管理者ガイド
101
ユース ケース : Panorama を使用したファイアウォールの設定
ファイアウォールの管理
テンプレートを使用した基本設定の管理（続き）
3.
管理対象ファイアウォールの管理インターフェイスへの HTTPS、SSH、および SNMP アクセスを有
効にします。各テンプレートでこの手順を繰り返します。
a. [Device] タブで、ドロップダウンから [テンプレート] を選択します。
b. [セットアップ] > [管理] の順に選択し、[管理インターフェイス設定] セクションを編集します。
c. [ サービス ] で、[HTTPS]、[SSH]、および [SNMP] のチェック ボックスをオンにして、[OK] をク
リックします。
4.
データセンター テンプレート（T_DataCenter）に含まれるファイアウォールのゾーン プロテクショ
ン プロファイルを作成します。
a. [Network] タブを選択し、[テンプレート] ドロップダウンで [T_DataCenter] を選択します。
b. [ネットワーク プロファイル] > [ゾーン プロテクション] の順に選択し、[追加] をクリックします。
c. この例では、SYN フラッドに対する保護を有効にします。有効にするには、[フラッド プロテクショ
ン] タブで [SYN] チェック ボックスをオンにし、[アクション] を [SYN Cookie] に、[アラート] パ
ケット/秒を [100] に、[アクティベーション] パケット/秒を [1000] に、および [最大] パケット/
秒を [10000] に設定します。
d. この例では、アラートを有効にします。有効にするには、[ 偵察行為防御 ] タブで、[TCP ポート
スキャン]、[ホスト スイープ]、および [UDP ポート スキャン] の [有効化] チェック ボックスをオ
ンにします。[アクション] の値が [Alert]（デフォルト値）に設定されていることを確認します。
e. [OK] をクリックしてゾーン プロテクション プロファイルを保存します。
5.
データセンター テンプレート（T_DataCenter）でインターフェイスとゾーンの設定を行い、作成し
たゾーン プロテクション プロファイルを添付します。
この手順を実行する前に、まずファイアウォール上でインターフェイスをローカルに設定し
ておく必要があります。少なくとも、インターフェイス タイプを定義し、必要に応じてその
タイプを仮想ルーターに割り当て、セキュリティ ゾーンを適用しておく必要があります。
a. [Network] タブを選択し、[テンプレート] ドロップダウンで [T_DataCenter] を選択します。
b. [Network] > [インターフェイス] の順に選択し、[インターフェイス] 列でインターフェイス名をク
リックします。
c. ドロップダウンから [インターフェイス タイプ] を選択します。
d. [仮想ルーター] ドロップダウン リストで、[新規仮想ルーター] を選択します。ルーターを定義す
るときには、[名前] がファイアウォールで定義されている名前と確実に一致するようにします。
e. [セキュリティ ゾーン] ドロップダウンで、[新規ゾーン] をクリックします。ゾーンを定義すると
きには、[名前] がファイアウォールで定義されている名前と確実に一致するようにします。
f. [OK] をクリックして、インターフェイスに対する変更を保存します。
g. [Network] > [ゾーン] の順に選択し、作成したゾーンを選択します。ゾーンに正しいインターフェ
イスが適用されていることを確認します。
h. [ゾーン プロテクション プロファイル] ドロップダウンで、作成したプロファイルを選択し、[OK]
をクリックします。
102
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
テンプレートを使用した基本設定の管理（続き）
6.
テンプレートの変更をコミットします。
a. [コミット] をクリックし、[コミット タイプ] として [Panorama] を選択して、Panorama で実行中
の設定に変更を保存します。[OK] をクリックします。
b. [コミット] をクリックし、[コミット タイプ] として [テンプレート] を選択して、選択したテンプ
レートに含まれるファイアウォールに変更をプッシュします。[OK] をクリックします。
デバイス グループを使用したポリシーのプッシュ
タスク 3
ファイアウォールでのポリシーの管理にデバイス グループを使用します。
1.
デバイス グループを作成し、適切なファイアウォールを各デバイス グループに割り当てます。手順
の詳細は、「デバイス グループを作成し ます。」を参照してください。
2.
DNS および SNMP サービスを許可するための共有プレ ルールを作成します。
a. DNS および SNMP サービスの共有アプリケーション グループを作成します。
– [Objects] > [アプリケーション グループ] の順に選択し、[追加] をクリックします。
– 共有アプリケーション グループ オブジェクトを作成するには、名前を入力し、[共有] チェック
ボックスをオンにします。
– [追加] をクリックし、「DNS」と入力し、リストから [dns] を選択します。SNMP についても繰
り返し、[snmp]、[snmp-trap] を選択します。
– [許可] をクリックしてアプリケーション グループを作成します。
b. 共有ポリシーを作成します。
– [Policies] タブを選択し、[デバイス グループ] ドロップダウンで [共有] を選択します。
– [セキュリティ] > [プレルール] ポリシー ルールベースの順に選択します。
– [追加] をクリックし、セキュリティ ポリシー ルールの [名前] にポリシー名を入力します。
– ルールの [送信元] タブと [宛先] タブで、[追加] をクリックし、トラフィックの [送信元ゾーン]
と [宛先ゾーン] を入力します。
– [アプリケーション] タブで、[追加] をクリックし、作成したアプリケーション グループ オブ
ジェクトの名前を入力し、ドロップダウンからその名前を選択します。
– [ アクション ] タブで、[ アクション ] を [ 許可 ] に設定して、[OK] をクリックします。
Panorama 管理者ガイド
103
ユース ケース : Panorama を使用したファイアウォールの設定
ファイアウォールの管理
デバイス グループを使用したポリシーのプッシュ（続き）
3.
すべてのオフィスに適用される会社の有効な使用ポリシーを定義します。この例では、一部の URL カ
テゴリへのアクセスを制限し、リスク レベルが 3、4、5 のピアツーピア トラフィックへのアクセス
を拒否する、共有ポリシーを作成します。
a. [Policies] タブを選択し、[デバイス グループ] ドロップダウンで [共有] を選択します。
b. [ セキュリティ] > [ プレルール ] の順に選択し、[ 追加 ] をクリックして、[ 一般 ] タブでセキュリ
ティ ポリシー ルールの [名前] を入力します。
c. [送信元] タブと [宛先] タブで、[追加] をクリックし、トラフィックの [送信元ゾーン] と [宛先
ゾーン] として [いずれか] を選択します。
d. [アプリケーション] タブでアプリケーション フィルタを定義します。定義するには、[追加] をク
リックし、ドロップダウンのフッターで [新規アプリケーション フィルタ] をクリックします。[名
前] を入力し、[共有] チェック ボックスをオンにします。[リスク] 列で、レベル 3、4、および
5 を選択します。[テクノロジ] 列で、[ピアツーピア] を選択します。[OK] をクリックして新しい
フィルタを保存します。
e. [サービス/URL カテゴリ] タブの [URL カテゴリ] セクションで、[追加] をクリックし、ブロックす
るカテゴリ（streaming-media、dating、online-personal-storage など）を選択します。
f. デフォルトの URL フィルタリング プロファイルを適用することもできます。[アクション] タブの
[プロファイル設定] セクションで、[プロファイル タイプ] のオプションとして [プロファイル] を選
択し、[URL フィルタリング] のオプションとして [デフォルト] を選択します。
g. [OK] をクリックしてセキュリティ プレルールを保存します。
104
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
デバイス グループを使用したポリシーのプッシュ（続き）
4.
地域本部でのみ、マーケティング グループの全ユーザーに Facebook を許可します。
ユーザーおよびグループに基づくセキュリティ ポリシーを有効にするには、識別するユーザーを含
むゾーンごとに User-ID を有効にする必要があります。ファイアウォールでユーザー ID をセット
アップし（『PAN-OS 管理者ガイド』を参照）、デバイス グループのマスター デバイスを定義して
おく必要があります。マスター ファイアウォールは、デバイス グループ内でポリシー評価のために
ユーザーおよびグループ マッピング情報を収集する唯一のファイアウォールです。
a. [Policies] タブを選択し、[デバイス グループ] ドロップダウンで [DG_BranchAndRegional] を選択し
ます。
b. [セキュリティ] > [プレルール] ポリシー ルールベースの順に選択します。
c. [追加] をクリックし、セキュリティ ポリシー ルールの [名前] にポリシー名を入力します。
d. [ ユーザー] タブで、[ 選択 ] を選択し、[ 送信元ユーザー] セクションで [ 追加 ] をクリックして、
マーケティング ユーザー グループを選択します。
e. [ アプリケーション ] タブで、[ 追加 ] をクリックし、「Facebook」と入力して、ドロップダウンから
[Facebook] を選択します。
f. [アクション] タブで、[アクション] を [許可] に設定します。
g. [ターゲット] タブで、地域本部のファイアウォールを選択し、[OK] をクリックします。
Panorama 管理者ガイド
105
ユース ケース : Panorama を使用したファイアウォールの設定
ファイアウォールの管理
デバイス グループを使用したポリシーのプッシュ（続き）
5.
データセンターの指定されたホスト / サーバーに Amazon クラウド アプリケーションのへのアクセ
スを許可します。
a. Amazon クラウド アプリケーションへのアクセスが必要なデータセンターのサーバー/ ホストのア
プリケーション グループ オブジェクトを作成します。
– [Objects] タブを選択し、[デバイス グループ] ドロップダウンで [DG_DataCenter] を選択します。
– [アドレス グループ] を選択します。
– [追加] をクリックし、アドレス グループ オブジェクトの [名前] を入力します。
– [追加] をクリックし、[新規 アドレス] を選択します。
– アドレス オブジェクトを定義するには、[名前] を入力し、[タイプ] を選択して、ホストの IP ア
ドレス、IP ネットマスク、IP 範囲、または FQDN を指定します。[OK] をクリックします。
b. [Policies] タブを選択し、[デバイス グループ] ドロップダウンで [DG_DataCenter] を選択します。
– [セキュリティ] > [プレルール] ポリシー ルールベースの順に選択します。
– [追加] をクリックし、セキュリティ ポリシー ルールの [名前] にポリシー名を入力します。
– [送信元] タブの [送信元アドレス] セクションで、[追加] をクリックし、定義したアドレス グルー
プを選択します。
– [アプリケーション] タブで、[追加] をクリックし、「amazon」と入力して、一覧から Amazon アプ
リケーションを選択します。
– [アクション] タブで、[アクション] を [許可] に設定します。
– [OK] をクリックします。
6.
ネットワーク上のインターネット方向へのトラフィックすべてのロギングを有効にするには、Trust
ゾーンから Untrust ゾーンに一致するルールを作成します。
a. [Policies] タブを選択し、[デバイス グループ] ドロップダウンで [共有] を選択します。
b. [セキュリティ] > [プレルール] ポリシー ルールベースの順に選択します。
c. [追加] をクリックし、セキュリティ ポリシー ルールの [名前] にポリシー名を入力します。
d. ルールの [送信元] タブと [宛先] タブで、[追加] をクリックし、[送信元ゾーン] として [trust_zone]
を、[宛先ゾーン] として [untrust_zone] を選択します。
e. [アクション] タブで、[アクション] を [拒否] に設定し、[ログ設定] を [セッション終了時にログ]
に設定して、[OK] をクリックします。
106
Panorama 管理者ガイド
ファイアウォールの管理
ユース ケース : Panorama を使用したファイアウォールの設定
ルールのプレビューと変更のコミット
タスク 4
ルールをプレビューし、Panorama、デバイス グループ、およびテンプレートに変更をコミット
します。
1.
[Policies] タブを選択し、[ ルールのプレビュー] をクリックします。このプレビューでは、特定の
ルールベースについて、ルールがどのようにレイヤー化されているかを視覚的に評価できます。
2.
[コミット] をクリックし、[コミット タイプ] として [Panorama] を選択して、[OK] をクリックしま
す。
3.
[コミット] をクリックし、[コミット タイプ] として [デバイス グループ] を選択し、[デバイスおよび
ネットワーク テンプレートを含める] チェック ボックスをオンにして、[OK] をクリックします。
4.
デバイスの [コンテキスト] ドロップダウンで、Web インターフェイスにアクセスする管理対象ファ
イアウォールを選択し、Panorama でテンプレートとポリシーの設定が適用されたことを確認します。
Panorama 管理者ガイド
107
ユース ケース : Panorama を使用したファイアウォールの設定
108
ファイアウォールの管理
Panorama 管理者ガイド
ログ収集の管理
Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォール アクティビティ
の監査証跡となるログを生成できます。中央からログをモニターし、レポートを生成するに
は、管理対象ファイアウォールで生成されたログを Panorama に転送する必要があります。次
に、ログを集約してリモート ログの宛先に転送するように Panorama を設定できます。仮想ディ
スクまたは NFS データストアを持つ Panorama バーチャル アプライアンスにログを転送する場
合、ロギングを有効にするために追加のタスクを実行する必要はありません。
M-100 アプライアンスにログを転送する場合、Panorama モードの M-100 アプライアンスにロー
カルに転送する場合も、専用のログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）
に転送する場合も、ログ収集を有効にするには追加のタスクを実行する必要があります。
Panorama を使用してログ コレクタのアクセス、管理、更新を行うには、各ログ コレクタを管理
対象コレクタとして追加し、コレクタ グループを作成する必要があります。Panorama でログ コ
レクタを追加して設定すると、Panorama が必要な設定を管理対象デバイスにプッシュします。
ニーズに最も適したデプロイ環境を判断する方法については、「ログ収集デプロイ環境の計画」
を参照してください。以下のトピックでは、ログ収集の設定方法について説明します。

Panorama へのログ転送の有効化

管理対象コレクタの設定

コレクタ グループの管理

Panorama へのログ転送の確認

ログ転送とバッファのデフォルトの変更

Panorama から外部の宛先へのログ転送の有効化

ログ収集デプロイ環境
Panorama 自体でローカルに生成されるシステム ログおよび設定ログを管理する方法について
は、「Panorama のモニタリング」を参照してください。
Panorama 管理者ガイド
109
Panorama へのログ転送の有効化
ログ収集の管理
Panorama へのログ転送の有効化

ログ タイプごとの Panorama へのログ転送フロー

Panorama へのログ転送の設定
ログ タイプごとの Panorama へのログ転送フロー
Panorama へのログ転送の設定を行うためのワークフローは、ログ タイプと、ファイアウォール
がログを外部サービスに直接転送するのか、または Panorama からログを転送してから外部サー
ビスに転送するのかによって異なります。

ファイアウォールが Syslog メッセージ、電子メール通知、または SNMP トラップを外部サー
ビスに直接転送する場合、テンプレートの [Device] > [サーバー プロファイル] オプションを
使用して、各外部サービスのサーバー プロファイルを定義します。ファイアウォールが
Panorama またはログ コレクタにのみログを転送する場合、テンプレートのサーバー プロ
ファイルは必要ありません。Panorama が外部サービスにログを転送する場合、Panorama から
外部の宛先へのログ転送の有効化を行うときに [Panorama] > [サーバー プロファイル] オプ
ションを使用してサーバー プロファイルを定義します（これらのオプションの詳細は、「ロ
グ転送オプション」を参照してください）。

各ログ タイプごとに転送設定を行います。ログ タイプごとに、Panorama に加えて外部サー
ビスに直接転送するかどうかを指定できます。分散ログ収集デプロイ環境で Panorama への
転送を有効にする場合、ログ転送設定リストにより、ファイアウォールがログを送信するロ
グ コレクタが決まります。ログ転送は、各ファイアウォールで手動で設定できますが
（『PAN-OS 管理者ガイド』を参照）、Panorama のデバイス グループとテンプレートを使用
するとワークフローを合理化できます。ログ転送を有効にする具体的な Panorama のワーク
フローは、ログ タイプによって異なります。
–
トラフィック ログ、脅威ログ、WildFire ログ — デバイス グループを使用して、Panorama ま
たは外部サービス（必要な場合）に転送するためのログ転送プロファイルを作成します
（[Objects] > [ ログ転送 ]）。たとえば、ログを Syslog サーバーに転送する場合、テンプ
レートを使用して Syslog サーバー プロファイルを作成します（[Device] > [サーバー プロ
ファイル] > [Syslog]）。ログ転送プロファイルは、Syslog サーバー プロファイルを使用
してサーバーにアクセスします。以下の表に、これらのログおよび関連する転送要件を
示します。
ログ タイプ
説明および転送要件
トラフィック ログ
トラフィック ログを転送するには、ログ転送プロファイルをセットアップし
て、セキュリティ ポリシーに追加します。このポリシーに従って転送が行わ
れます。ファイアウォールは、特定のルールに一致するトラフィックのみを
ロギングおよび転送します。
110
Panorama 管理者ガイド
ログ収集の管理
ログ タイプ
Panorama へのログ転送の有効化
説明および転送要件
脅威ログ
脅威ログを転送するには、転送対象の重大度レベルを指定するログ転送プロ
（URL フィルタリング ファイルを作成し、セキュリティ ポリシーに追加します。このポリシーに
ログ、データ フィルタ 従って転送が行われます。さらに、セキュリティ プロファイル（アンチウイ
ルス、アンチスパイウェア、脆弱性、URL フィルタリング、ファイル ブロッ
リング ログを含む）
キング、データ フィルタリング、Dos プロテクション）をセキュリティ ポリ
シーに適用する必要があります。ファイアウォールは、関連付けられたトラ
フィックがセキュリティ プロファイルと一致した場合にのみ脅威ログ エント
リを作成して転送します。
WildFire ログ
–
WildFire ログ（分析のために WildFire に送信されるファイル）を転送するには、
[安全] または [有害] として判定された結果を転送するかどうかを指定します。
システム ログ、設定ログ、HIP マッチ ログ — 対応する [Device] > [ログ設定] タブで、テ
ンプレートを設定し、[Panorama] チェック ボックスをオンにして、Panorama への転送
を有効にします。また、これらのログを外部サービスに転送することもできます。たと
えば、従来の Syslog サーバーまたはセキュリティ情報およびイベント管理（SIEM）サー
バー（Splunk、Arcsight、または Qradar など）に直接ログを転送してアーカイブするに
は、テンプレートを使用して Syslog サーバー プロファイルを定義する必要があります
（[Device] > [サーバー プロファイル] > [Syslog]）。以下の表に、これらのログおよび関
連する転送要件を示します。
ログ タイプ
説明および転送要件
システム ログ
システム ログには、システム イベント（HA の障害、リンク状態の変更、ファ
イアウォールへの管理アクセスなど）が表示されます。ログ転送対象の重大
度レベルごとに、転送先（Panorama、および必要に応じて電子メール サー
バー、SNMP トラップ サーバー、Syslog サーバー）を選択します。
設定ログ
設定ログには、ファイアウォール設定への変更が記録されます。設定ログの転
送を有効にするには、転送先（Panorama、および必要に応じて電子メール サー
バー、SNMP トラップ サーバー、Syslog サーバー）を選択する必要があります。
HIP マッチ ログ
ホスト情報プロファイル（HIP）マッチ ログの転送を有効にするには、転送先
（Panorama、および必要に応じて電子メール サーバー、SNMP トラップ サー
バー、Syslog サーバー）を選択する必要があります。
PAN-OS は、HIP マッチ ログを使用して、GlobalProtect クライアントに関する
情報を集めます。PAN-OS は、ファイアウォールが HIP レポートを送信すると
きに HIP マッチ ログを生成します。HIP プロファイルでは、ファイアウォー
ル上で一致した HIP オブジェクト（OS バージョン、パッチ レベル、ディスク
暗号化、アンチウイルス バージョンなど）を指定します。
Panorama へのログ転送の設定
Panorama へのログ転送に関連するオプションおよび要件の詳細は、「ログ タイプごとの Panorama
へのログ転送フロー」を参照してください。
Panorama 管理者ガイド
111
Panorama へのログ転送の有効化
ログ収集の管理
Panorama へのログ転送の設定
ステップ 1
（任 意）外 部 サ ー ビ ス（こ の 1.
例 で は Syslog サ ー バ ー）に 接
続するための情報が含まれる 2.
サーバー プロファイルを作成
します。
3.
外部サービスにログを直接転
送 す る の で は な く、Panorama 4.
から外部の宛先へのログ転送
の有効化のみを行う場合は、
5.
この手順を省略します。
テンプレートの追加を行うか、[Device] タブで、[ テン
プレート] ドロップダウンから 1 つを選択します。
[Device] > [サーバー プロファイル] > [Syslog] の順に
選択します。
[追加] をクリックし、プロファイルの [名前] を入力し
ます。
（任意）[ 場所 ] ドロップダウンから、このプロファイ
ルの適用先となる仮想システムを選択します。
[追加] をクリックして新しい Syslog サーバー エントリ
を追加し、Syslog サーバーに接続するために必要な情
報を入力します（同じプロファイルに Syslog サーバー
を 4 つまで追加できます）。
• 名前 — サーバー プロファイルの一意の名前。
• サーバー — Syslog サーバーの IP アドレスまたは完
全修飾ドメイン名（FQDN）。
• 転送 — 転送方法として UDP、TCP または SSL を選
択します。保護された Syslog 転送として、SSLv3 お
よび TLSv1 がサポートされています。
• ポート — Syslog メッセージを送信するときに経由す
るポート番号（デフォルトは 514（UDP の場合）、
6514（SSL の場合））。ファイアウォールと Syslog サー
バーで同じポート番号を使用する必要があります。
• フォーマット — 個々の Syslog メッセージを区切るた
めに使用できる区切り文字のフォーマットは、LF
（改 行）（BSD フ ォ ー マ ッ ト（デフォルト））と
メッセージ長（IETF フォーマット）です。
• ファシリティ — Syslog の標準値のいずれかを選択しま
す。実装されている Syslog サーバーの優先度（PRI）
フィールドの計算で使用されます。PRI フィールド
を使用して Syslog メッセージを管理する方法に対応
する値を選択します。使用可能なファシリティは、
user、local0、local1、local2、local3、local4、local5、
local6、および local7 です。
112
6.
（任意）ファイアウォールが送信する Syslog メッセー
ジのフォーマットをカスタマイズするには、[ カスタム
ログ フォーマット] タブを選択します。さまざまなログ
タイプでのカスタム フォーマットの作成方法について
は、『Common Event Format Configuration Guide』を参照
してください。
7.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
Panorama 管理者ガイド
ログ収集の管理
Panorama へのログ転送の有効化
Panorama へのログ転送の設定（続き）
ステップ 2
トラフィック ログ、脅威ログ 1.
および WildFire ログのログ転
送プロファイルをセットアッ
プします。
2.
デバイス グループの追加を行うか、[Objects] タブで、
[デバイス グループ] ドロップダウンから 1 つを選択し
ます。
脅威ログには、URL フィ 3.
ルタリング ログおよび
データ フィルタリング ロ 4.
グが含まれます。ファイ
アウォールは、通知が有
効な重大度レベルに基づ
5.
いてログを転送します。
[追加] をクリックし、ログ転送プロファイルの [名前]
を入力します。
6.
（任意）Syslog サーバーに転送するためのサーバー プ
ロファイルを選択します。
[Objects] > [ログ転送] の順に選択します。
（任意）[共有] チェック ボックスをオンにして、この
プロファイルをすべての管理対象ファイアウォールで
共有します。
ログ転送を有効にする重大度レベルの [Panorama]チェッ
ク ボックスをオンにします。
ファイアウォール（または仮想システム）がデ
バイス グループに含まれていて、サーバー プロ
ファイルを設定したテンプレートがファイア
ウォール（または仮想システム）に適用されて
いることを確認します。
7.
ステップ 3
[OK] をクリックします。
システム ログ、設定ログ、およ 同じテンプレートを選択した状態で、必要に応じて転送す
び HIP マッチ ログのログ転送を るログ タイプを選択します。
有効にします。
• システム ログの場合、[Device] > [ログ設定] > [システム] の
順に選択し、各 [重大度] リンクを選択して、[Panorama]
をオンにして Panorama への転送を有効にし、[Syslog]
で Syslog サーバーへの転送に使用するサーバー プロファ
イルを選択します。
• 設定ログの場合、[Device] > [ログ設定] > [設定] の順に選
択して、[ログ設定] セクションを編集し、[Panorama] を
オンにして Panorama への転送を有効にし、[Syslog] で
Syslog サーバーへの転送に使用するサーバー プロファイ
ルを選択します。
• HIP マッチ ログの場合、[Device] > [ログ設定] > [HIP マッ
チ] の順に設定して、[HIP マッチ] セクションを編集し、
[Panorama] をオンにして Panorama への転送を有効に
し、[Syslog] で Syslog サーバーへの転送に使用するサー
バー プロファイルを選択します。
Panorama 管理者ガイド
113
Panorama へのログ転送の有効化
ログ収集の管理
Panorama へのログ転送の設定（続き）
ステップ 4
（任意）SCP または FTP サー トラフィック ログ、脅威ログ、URL フィルタリング ログ、
バーへのログのエクスポート データ フィルタリング ログ、HIP マッチ ログ、WildFire ロ
をスケジュール設定します。 グの場合、Panorama テンプレートを使用してログのエクス
ポートをスケジュール設定できます。
SCP を使用する計画の場
1. [Device] タブで、ドロップダウンから [テンプレート] を
合、テンプレートをプッ
選択します。
シュした後に、各管理対
象 デ バ イ ス に ロ グ イ ン 2. [Device] > [スケジュール設定されたログのエクスポー
ト] の順に選択し、[追加] をクリックします。
し、[ スケジュール設定
されたログのエクスポー 3.
ト ] を開いて、[SCP サー
バー接続のテスト ] ボタ 4.
ンをクリックする必要が
あ り ま す。フ ァ イ ア
ウォールが SCP サーバー
のホスト キーを受け入れ
5.
るまで、接続は確立され
ません。
[スケジュール設定されたログのエクスポート] の [名前]
を入力し、[有効化] します。
6.
ログをエクスポートする [プロトコル]（[SCP]（セキュ
ア）ま た は [FTP]）を 選 択 し ま す。[FTP] の 場 合、
[FTP パッシブ モードを有効にする] オプションがあり
ます。
7.
[ホスト名] に、サーバーのホスト名または IP アドレス
を入力します。
8.
ファイアウォールの接続にサーバーで以下の詳細が必
要な場合、これらを定義します。
エクスポートする [ ログ タイプ ] を選択します。複数
のタイプのエクスポートをスケジュール設定するに
は、タイプごとにログ エクスポートをスケジュール設
定する必要があります。
[エクスポートの開始予定時刻（毎日）] を選択します。
このオプションは、24 時間形式（00:00 ～ 23:59）で、
15 分単位で指定します。
a. [ポート] にポート番号を入力します。デフォルトで
は、FTP ではポート 21、SCP ではポート 22 が使用
されます。
b. [パス] に、エクスポートしたログを保存するパスま
たはディレクトリを入力します。
c. サーバーにアクセスするための [ ユーザー名 ] と [ パス
ワード]（および [パスワードの確認]）を入力します。
9.
114
[OK] をクリックします。
Panorama 管理者ガイド
ログ収集の管理
Panorama へのログ転送の有効化
Panorama へのログ転送の設定（続き）
ステップ 5
設定の変更をすべて保存し
ます。
Panorama 管理者ガイド
1.
[コミット] をクリックし、[コミット タイプ] として
[Panorama] を選択して、Panorama で実行中の設定に
変更を保存します。
2.
[コミット] をクリックし、[コミット タイプ] として [テ
ンプレート ] を選択して、選択したテンプレートに含
まれるファイアウォールに変更をプッシュします。
3.
[コミット] をクリックし、[コミット タイプ] として [デ
バイス グループ ] を選択して、選択したデバイス グ
ループに含まれるファイアウォールに変更をプッシュ
します。
115
管理対象コレクタの設定
ログ収集の管理
管理対象コレクタの設定
Panorama（バーチャル アプライアンスまたは Panorama モードの M-100 アプライアンス）を有効
にしてログ コレクタを管理するには、各ログ コレクタを管理対象コレクタとして追加する必要
があります。
Panorama モードの M-100 アプライアンスにログを転送する場合、アプライアンスのデフォルト
のローカル ログ コレクタが、作成プロセスで追加されます。ただし、Panorama バーチャル ア
プライアンスから M-100 アプライアンスへの移行を行う場合、デフォルトのログ コレクタは表
示されないため、ログ コレクタを再設定する必要があります。
専用のログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）を設定するには、ステッ
プ 1 から始めます。ローカル ログ コレクタ（Panorama モードの M-100 アプライアンスに対して
ローカル）を設定するには、ステップ 4 から始めます。すでに実行した手順（初期セットアッ
プなど）は省略します。
管理対象コレクタの設定
ステップ 1
ステップ 2
（専用のログ コレクタのみ） 1.
ログ コレクタ モードの M-100
アプライアンスの初期セット
アップを実行します。
2.
M-100 アプライアンスをラックマウントします。手順
は、『M-100 ハードウェア リファレンス ガイド』を参
照してください。
M-100 アプライアンスの初期設定の実行。
3.
Panorama の登録とライセンスのインストール。
4.
コンテンツ更新および、Panorama ソフトウェア更新の
インストール。
（専用のログ コレクタのみ） 1.
Panorama モードからログ コレ
クタ モードへの切り替えを行 2.
います。
M-100 アプライアンスの Panorama CLI へのログインを
行います。
M-100 アプライアンスの
モードを切り替える
と、既 存 の ロ グ が す べ
て削除されます。
request system logger-mode logger コマンドを入力し、
「Yes」と入力して、ログ コレクタ モードへの変更を
確認します。アプライアンスが再起動します。
モードを切り替える
と、M-100 アプライアン
スは CLI にはアクセスで
きますが、Panorama 設定
は失われ、Web インター
フェイスにアクセスで
きなくなります。
116
Panorama 管理者ガイド
ログ収集の管理
管理対象コレクタの設定
管理対象コレクタの設定（続き）
ステップ 3
（専用のログ コレクタのみ） 専用のログ コレクタの CLI で、以下のコマンドを入力
デフォルトの 1 TB よりも大き し、プロンプトが表示されたら要求を確認します。
request system raid add B1
なストレージを必要とする専
request system raid add B2
用のログ コレクタごとに、必
要に応じて M-100 アプライア
ンスのストレージの拡張を行
い ま す。こ の 例 で は、デ ィ ス
ク ベイ B1 と B2 のドライブを
使用しています。
ステップ 4
M-100 アプライアンス間の接続 入力するコマンドは、ログ コレクタ タイプによって異な
を有効にします。
ります。
• 専用のログ コレクタ
a. 各ログ コレクタの CLI で、以下のコマンドを入力し
ます。<IP address1> は、プライマリ（HA）Panorama
またはスタンドアロン（非 HA）Panorama の管理イ
ンターフェイスを表します。
set deviceconfig system panorama-server <IPaddress1>
commit
b. 高可用性（HA）デプロイ環境の場合、以下のコマ
ンドも入力します。<IP address2> は、セカンダリ
Panorama の管理インターフェイスを表します。
set deviceconfig system panorama-server-2 <IPaddress2>
commit
• ローカル ログ コレクタ — HA 設定の Panorama の場合に
のみ以下の手順を実行します。
a. プライマリ Panorama の CLI で、以下のコマンドを
入力します。<IP address2> は、セカンダリ Panorama
の管理インターフェイスを表します。
set deviceconfig system panorama-server <IPaddress2>
commit
b. セカンダリ Panorama の CLI で、以下のコマンドを
入力します。<IP address1> は、プライマリ Panorama
の管理インターフェイスを表します。
set deviceconfig system panorama-server <IPaddress1>
commit
Panorama 管理者ガイド
117
管理対象コレクタの設定
ログ収集の管理
管理対象コレクタの設定（続き）
ステップ 5
ログ コレクタのシリアル番号を シリアル番号を表示する手順は、ログ コレクタ タイプに
記録します。これは、ログ コ よって異なります。
レクタを管理対象コレクタと • ローカル — Panorama モードの M-100 アプライアンスの
して追加するときに必要にな
シ リ ア ル 番 号 を 使 用 し ま す。Panorama Web イ ン タ ー
ります。
フェイスにアクセスし、[Dashboard] タブの [ 一般的な
情報] セクションの [シリアル番号] フィールドの値を記
録します。
高 可 用 性（HA）デ プ ロ イ 環 境 で は、Panorama
モードの各ピア M-100 アプライアンスでローカル
ログ コレクタを設定できます。各ピアには、一
意のシリアル番号が割り当てられます。
• 専用 — ログ コレクタ モードの M-100 アプライアンスの
シリアル番号を使用します。ログ コレクタの CLI にア
クセスし、show system info コマンドを入力します。
ステップ 6
ログ コレクタの一般的なパラ
メータを設定します。
Panorama 管理サーバーの Web インターフェイスを使用し
て、以下の手順を実行します。
1. [Panorama] > [管理対象コレクタ] の順に選択します。
2.
[追加] をクリックして新しいログ コレクタを定義する
か、既存のログ コレクタの名前をクリックして編集し
ます。
Panorama モードの M-100 アプライアンスには、
事前設定された default という名前のログ コレ
クタがあります。
3.
[全般] タブの [コレクタ シリアル番号] フィールドに、
ステップ 5 で記録したシリアル番号を入力します。
残りの手順は、デプロイ環境によって異なります。
• 専用のログ コレクタ（ログ コレクタ モードの M-100 ア
プライアンス）または Panorama モードのセカンダリ
M-100 アプライアンス上のローカル ログ コレクタ（HA デ
プロイ環境）を追加する場合、ステップ 7に進みます。
• Panorama モードのスタンドアロン（非 HA）またはプラ
イマリ（HA）M-100 アプライアンスのローカル ログ コ
レクタを追加する場合、ステップ 10 に進みます。
118
Panorama 管理者ガイド
ログ収集の管理
管理対象コレクタの設定
管理対象コレクタの設定（続き）
ステップ 7
ログ コレクタのネットワーク ア 以下の詳細は、M-100 アプライアンスの初期設定時に指定
クセスを設定します。
していますが、[全般] タブで情報を再入力する必要があり
ます。これらのフィールドは、Panorama によって自動的
に入力されません。
1. [Panorama サーバー IP] フィールドに、ログ コレクタ
を管理する Panorama 管理サーバーの IP アドレスを入
力 し ま す。HA 設 定 の Panorama の 場 合、[Panorama
サーバー IP 2] フィールドに、セカンダリ ピアの IP ア
ドレスを入力します。
前述のフィールドは必須です。
2.
[プライマリ DNS サーバー] および [セカンダリ DNS サー
バー] の IP アドレスを設定します。
3.
（任意）Panorama がログ エントリの記録に使用する [タ
イム ゾーン] を設定します。
残りの手順は、デプロイ環境によって異なります。
• 専用のログ コレクタを追加する場合、ステップ 8 に進
みます。
• Panorama モードのセカンダリ M-100 アプライアンスのロー
カル ログ コレクタを追加する場合、ステップ 10 に進み
ます。
ステップ 8
（専用のログ コレクタのみ）ロ 1.
グ コレクタへの管理アクセス
を設定します。
2.
デフォルト ユーザーは
admin で す。ロ グ コ レ
クタでこのユーザー名
の変更や管理ユーザー
の追加はできません。
Panorama 管理者ガイド
[認証] タブで、パスワードの [モード] を選択し、[パス
ワード]（デフォルトは admin）を入力します。
Panorama によってロックアウトされてログ コレクタ
にアクセスできなくなるまでにユーザーが実行できる
ログイン回数を [ 許容ログイン回数 ] に入力し、[ ロッ
クアウト時間] の間隔を分単位で入力します。
119
管理対象コレクタの設定
ログ収集の管理
管理対象コレクタの設定（続き）
ステップ 9
（専用のログ コレクタのみ）ロ ログ コレクタが使用するインターフェイスに関連する設
グ コレクタ インターフェイス 定（[管理]（MGT）[Ethernet 1]、および/または[Ethernet 2]）
を設定します。
を各タブで行います。[Ethernet 1] または [Ethernet 2] イ
ンターフェイスは、「M-100 アプライアンスの初期設定の
実行」のタスクでこれらを定義した場合にのみ使用できま
す。[MGT] インターフェイスは必須です。
1. ネットワークの IP プロトコルに合わせて、以下のい
ずれかのフィールドを入力します。
• IPv4 — [IP アドレス]、[ネットマスク]、および [デ
フォルト ゲートウェイ]
• IPv6 — [IPv6 アドレス/プレフィックス長] および [デ
フォルト IPv6 ゲートウェイ]
前述のフィールドは必須です。
2.
（任意）インターフェイスでサポートされるサービスを
選択します。デフォルトでは、[MGT]、[Ethernet 1]、お
よび [Ethernet 2] インターフェイスで [Ping] が選択さ
れ て い ま す。[MGT] イ ン タ ー フ ェ イ ス で は、[SSH]
（デフォルトでオン）および [SNMP]（デフォルトで
オフ）もサポートされています。
3.
（任意）インターフェイスへのアクセスを制限するに
は、[ 追加 ] をクリックし、[ アクセス許可 IP アドレス ]
リストに 1 つ以上の IP アドレスを入力します。リスト
を空白のままにすると、Panorama はアクセスを制限し
ません。
エントリを追加すると、指定した IP アドレスし
かインターフェイスにアクセスできなくなるた
め、Panorama 管理サーバーのアドレスを必ず追
加してください。
4.
[OK] をクリックします。
ステップ 10 （任意）ロギン グ用 の追加 の 追加のディスク ペアを有効にするには、ステップ 3 を実
RAID ディスク ペアを有効にし 行している必要があります。
ます。
1. [ディスク] タブで [追加] をクリックします。
120
2.
ドロップダウンから追加の各ディスク ペアを選択し
ます。
3.
[OK] をクリックして、ディスク ペアをロギングに使
用できるようにします。
Panorama 管理者ガイド
ログ収集の管理
管理対象コレクタの設定
管理対象コレクタの設定（続き）
ステップ 11 （任意）ログ コレクタが [デバ [ 全般 ] タブに戻り、ログ コレクタが [ デバイス ログ収集 ]
イス ログ収集] および [コレク および [ コレクタ グループ通信 ] に使用するインターフェ
タ グループ通信] に使用するイ イスを選択します。
ンターフェイスを選択しま
す。デフォルトでは、M-100 ア
プ ラ イ ア ン ス は [MGT]（管
理）インターフェイスを使用
します。
[Ethernet 1] または [Ethernet 2]
インターフェイスは、対応す
るタブでこれらを設定した場
合にのみ使用できます。
ステップ 12 変更をコミットし、必要に応 1.
じて確認します。
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
2.
[Panorama] > [ 管理対象コレクタ ] ページで、追加し
たログ コレクタがグリッドに表示されていることを確
認 し ま す。[ 接 続 済 み ] 列 に は、ロ グ コ レ ク タ が
Panorama に接続されていることを示すチェック マー
ク アイコンが表示されます。
3.
追加のディスク ペアを有効にした場合、最後の列の
[Statistics] リンクをクリックして、ディスクの状態が
表示されるウィンドウを開きます。
Panorama と管理対象ファイアウォールおよびログ
コレクタに同じバージョンのアプリケーションおよ
び脅威データベースをインストールすることをお勧
めします。Panorama は、アプリケーションおよび脅
威データベースを使用して、Panorama または管理対
象デバイスから開始されるレポートを処理するため
のメタデータを取得します。ログ コレクタにこの
データベースがインストールされていない場合、レ
ポートに必要な完全なデータセットが使用できず、
不完全または不正確な情報が表示される可能性があ
ります。詳細は、「Panorama を使用したデバイスへ
の更新のデプロイ」を参照してください。
Panorama 管理者ガイド
121
コレクタ グループの管理
ログ収集の管理
コレクタ グループの管理
管理対象コレクタとしてログ コレクタを追加したら、コレクタ グループに割り当て、次に管理
対象ファイアウォールをログ コレクタに割り当てる必要があります。これにより、Panorama はロ
グ コレクタにアクセスし、ログ コレクタの管理および更新を行うことができるようになります。
Panorama モードの M-100 アプライアンスにログを転送する場合、デフォルトのローカル ログ コ
レクタを含むデフォルトのコレクタ グループが事前設定されます。ただし、Panorama バーチャ
ル アプライアンスから M-100 アプライアンスへの移行を行う場合、デフォルトのログ コレクタ
およびコレクタ グループは表示されないため、手動でログ コレクタ、コレクタ グループの順
に追加する必要があります。
コレクタ グループには複数のログ コレクタを割り当てることができますが、1 つのログ コレク
タのみを割り当てることをお勧めします。ただし、必要な保存期間にファイアウォールで 4TB
を超えるログが生成される場合、これらのログを受信するコレクタ グループに複数のログ コレ
クタを割り当てる必要があります。リスクと推奨されるリスク軽減の詳細は、「複数のログ コ
レクタを含むコレクタ グループに関する注意事項」を参照してください。
コレクタ グループを削除すると、ログが失われます。

コレクタ グループの設定

コレクタ グループからのファイアウォールの削除
コレクタ グループの設定
コレクタ グループの設定
ステップ 1
122
（任意）ログ コレクタのモニ すべての PAN-OS MIB ファイルを SNMP 管理ソフトウェア
タリングを行う SNMP 管理ソ にロードし、必要に応じてコンパイルします。具体的な
手順は、「Simple Network Management Protocol（SNMP）マ
フトウェアを設定します。
ネージャ ドキュメント」を参照してください。
SNMP を使用して、ログ コレ
クタの情報（各ログ タイプの
接続状態、ディスク ドライブ
統計、ソフトウェア バージョ
ン、平 均 CPU、平 均 ロ グ 数 /
秒、ロ グ 保 存 期 間）を 収 集 で
きます。
Panorama 管理者ガイド
ログ収集の管理
コレクタ グループの管理
コレクタ グループの設定（続き）
ステップ 2
（任意）Panorama から外部の宛 1.
先へのログ転送の有効化。
2.
Panorama Web インターフェイスへのログイン。
ログの転送先となる外部サービスに応じて、1 つ以上の
サーバー プロファイルを作成します。
• SNMP: [Panorama] > [サーバー プロファイル] >
[SNMP トラップ]
• Syslog: [Panorama ] > [サーバー プロファイル] >
[Syslog]
• 電子メール: [Panorama ] > [サーバー プロファイル] >
[電子メール]
3.
Panorama および専用のログ コレクタが生成するシス
テム ログを転送するには、[Panorama] > [ログ設定] >
[システム] の順に選択し、重大度レベルごとにサーバー
プロファイルを割り当てます。
4.
Panorama および専用のログ コレクタが生成する設定ロ
グを転送するには、[Panorama] > [ログ設定] > [設定] の
順に選択し、サーバー プロファイルを割り当てます。
ファイアウォールが生成する、ステップ 11 の
すべてのログ タイプにサーバー プロファイル
を割り当てます。
ステップ 3
ステップ 4
管 理 対 象 デ バ イ ス と し て の 1.
ファイアウォールの追加。こ
の手順は、コレクタ グループ
に割り当てるすべてのファイ 2.
アウォールで実行します。
管理対象コレクタの設定。こ
の手順は、コレクタ グループ
に割り当てるログ コレクタご
とに実行します。
Panorama Web インターフェイスで、[Panorama] > [管
理対象デバイス ] の順に選択し、[ 追加 ] をクリックし
ます。
各ファイアウォールのシリアル番号を 1 行ずつ入力し、
[OK] をクリックします。
専用のログ コレクタ（ログ コレクタ モードの M-100 アプ
ライアンス）にログを転送する場合、コレクタ グループ
を追加する前に、管理対象コレクタを手動で追加する必
要があります。
ローカル ログ コレクタ（Panorama モードの M-100 アプラ
イアンスに対してローカル）にログを転送する場合、デ
フォルトのローカル ログ コレクタが事前設定されます。
ただし、Panorama バーチャル アプライアンスから M-100
アプライアンスへの移行を行う場合、デフォルトのログ
コレクタは表示されないため、ログ コレクタを手動で追
加する必要があります。
モニタリングに SNMP を使用する場合、各ログ コ
レクタの [MGT]（管理）インターフェイスを設定す
るときに、[SNMP] サービスを選択します（「管理
対象コレクタの設定」のステップ 9 を参照してくだ
さい）。
Panorama 管理者ガイド
123
コレクタ グループの管理
ログ収集の管理
コレクタ グループの設定（続き）
ステップ 5
コレクタ グループを追加する 1.
か、既存のコレクタ グループ
を編集します。
2.
Panorama Web インターフェイスで、[Panorama] > [コ
レクタ グループ] の順に選択します。
[追加] をクリックして新しいコレクタ グループを定義
するか、既存のグループの名前をクリックして編集し
ます。
Panorama モードの M-100 アプライアンスには、
事前設定された default という名前のコレクタ
グループがあります。
3.
ステップ 6
124
新しいコレクタ グループを追加する場合、[全般] タブ
で、その [名前] を入力します。既存のコレクタ グルー
プの名前を編集することはできません。
ログの保持期間を設定します。 [全般] タブの [最小保持期間] フィールドに、このコレクタ
グループに割り当てるファイアウォールのログを Panorama
で保持する日数（1 ～ 2000）を入力します。現在の日付か
ら最も古いログの日付を差し引いた日数が、定義された
最小保持期間よりも小さければ、Panorama でシステム ロ
グ が 生 成 さ れ ま す。ロ グ の 保 持 期 間 に 達 す る 日 に
Panorama によってアラートが生成されます。
Panorama 管理者ガイド
ログ収集の管理
コレクタ グループの管理
コレクタ グループの設定（続き）
ステップ 7
（任意）ログ コレクタの SNMP 1.
モニタリングを設定します。
ステップ 1 が前提条件となり 2.
ます。
3.
[モニタリング] タブで、コレクタ グループの物理的な
[場所] を表すテキスト文字列を入力します。
管理上の [連絡先] の電子メール アドレスを追加します。
SNMP の [バージョン] を選択し、対応する詳細を以下
のように入力します。指定する認証設定（[V2c] のコ
ミュニティ名または [V3] のユーザー名およびパス
ワード）は、SNMP マネージャで設定した値と一致し
ている必要があります。
• V2c — SNMP マネージャがコレクタ グループの SNMP
エージェントにアクセスできるようにする [SNMP コ
ミュニティ名] を入力します。デフォルト値は public
です。ただし、これは一般的なコミュニティ名であ
るため、ベスト プラクティスとして、容易に推測
できない値に変更するようお勧めします。
• V3 — SNMPv3 を使用するには、少なくとも 1 つの [表
示] および [ユーザー] を追加する必要があります。
– 表示 — SNMP マネージャがアクセスできる管理情
報を指定します。すべての管理情報へのアクセス
を有効にするには、最上位 OID「.1.3.6.1」のみを
入力し、[オプション] に [包含] を指定します（特
定のオブジェクトを除外する表示を作成すること
もできます）。[ マスク ] として「0xf0」を使用し
ます。
– ユーザー — 追加した [表示] ごとに、[認証パスワー
ド]（認証パスワード）と [専用パスワード]（専用
パスワード）を指定します。
ステップ 8
コレクタ グループにログ コレ 1.
クタを割り当てます。
[デバイス ログ転送] タブの [コレクタ グループのメン
バー] セクションで、[追加] をクリックします。
2.
ドロップダウンで、グループに割り当てるログ コレク
タを選択します。
Panorama 管理者ガイド
125
コレクタ グループの管理
ログ収集の管理
コレクタ グループの設定（続き）
ステップ 9
ログをコレクタ グループに転送 1.
するファイアウォールを割り
当てます。
2.
PAN-OS 4.x を 実 行 し て
いるファイアウォール
は、専用のログ コレク 3.
タに割り当てることが
できないため、Panorama
バーチャル アプライア
ンスか、Panorama モード
の M-100 アプライアンス
にログを転送する必要
があります。PAN-OS 5.x
以降を実行しているファ
イ ア ウ ォ ー ル の み が 専 4.
用のログ コレクタにロ
グを送信できます。
[デバイス ログ転送] タブの [転送の優先順位のログ] セ
クションで、[追加] をクリックします。
[デバイス] セクションで [変更] をクリックして、コレ
クタ グループに割り当てるファイアウォールを選択
し、[OK] をクリックします。
[コレクタ] セクションで [追加] をクリックして、ファ
イアウォールがログを転送するログ コレクタを選択し
ます。複数のログ コレクタを割り当てる場合、最初の
ログ コレクタがプライマリになります。プライマリが
使用できなくなった場合にのみ、ファイアウォールは
リスト内の次のログ コレクタにログを送信します。ロ
グ コレクタの優先順位を変更するには、ログ コレク
タを選択して、[上へ]（優先順位を上げる）または [下
へ]（優先順位を下げる）をクリックします。
ファイアウォールへのログ コレクタの割り当てが終了
したら、[OK] をクリックします。
ステップ 10 ログ タイプ（トラフィック、 1.
脅 威、設 定、シ ス テ ム な ど）
ごとに目的のストレージ容量
（ログ 割り当 て）を 割り当 て
ます。
[全般] タブに戻り、[ログ保存エリア] の値をクリック
します。
2.
ログ タイプごとに [割り当て（%）] を入力します。パー
セント値を変更するとページが更新されて、コレクタ
グループに割り当てられた合計ストレージに基づい
て、対応する絶対値（割り当ての [GB]/[MB] 列）が表
示されます。
ログ コレクタをコレクタ グループに割り当て
ていなければ、このフィールドに値は表示され
ま せ ん。ロ グ コ レ ク タ を 割 り 当 て た 後 で、
フィールドに「0MB」が表示される場合は、ロギ
ング用のディスク ペアを有効にし、変更をコミッ
トしたことを確認します（「管理対象コレクタ
の設定」のステップ 10 を参照してください）。
変更を取り消して、工場出荷時の割り当てにリセット
する必要がある場合、ページの右下にある [デフォルト
の復元] をクリックします。
126
Panorama 管理者ガイド
ログ収集の管理
コレクタ グループの管理
コレクタ グループの設定（続き）
ステップ 11 （任意）コレクタ グループから 1.
外部サービスへのログ転送を 2.
設定します。ステップ 2（サー
バー プロファイルの作成）が
前提条件となります。
デバイス グループ
（[Objects] > [ログ転送]）
およびテンプレート
（[Device] > [ログ設定]）
を使用して、（コレクタ
グループでログを集約
す る 前 に）フ ァ イ ア
ウォール ログを外部サー
ビスに直接送信すること
も で き ま す。詳 細 は、
「Panorama へのログ転送
の有効化」を参照してく
ださい。
ステップ 12 変更をコミットし、必要に応じ 1.
て、コレクタ グループに割り当
てたログ コレクタが Panorama
に 接 続 さ れ て い て、Panorama 2.
と同期していることを確認し
ます。
3.
[コレクタ ログ転送] タブを選択します。
各ログ タイプのタブで、ログを転送する各サービス
（[SNMP トラップ ]、[ 電子メール プロファイル ]、ま
たは [Syslog プロファイル ]）のサーバー プロファイ
ルを選択します。[システム] および [脅威] タブで、各
重大度のプロファイルを選択します。[WildFire] タブ
で、各判定（安全または有害）のプロファイルを選択
します。
[OK] をクリックして [コミット] をクリックし、[コミッ
ト タイプ] で [Panorama] を選択して、[OK] をクリッ
クします。
[コミット] をクリックし、[コミット タイプ] で [コレク
タ グループ] を選択して、追加したコレクタ グループ
を選択し、[OK] をクリックします。
[Panorama] > [管理対象コレクタ] の順に選択します。
[接続済み] 列には、ログ コレクタが Panorama に接続さ
れていることを示すチェック マーク アイコンが表示
されます。[設定状態] 列は、Panorama およびログ コレ
クタにコミットした設定がお互いに同期している（緑
のアイコン）か、していない（赤のアイコン）かを示
します。
Panorama と管理対象ファイアウォールおよびログ
コレクタに同じバージョンのアプリケーションおよ
び脅威データベースをインストールすることをお勧
めします。Panorama は、アプリケーションおよび脅
威データベースを使用して、Panorama または管理対
象デバイスから開始されるレポートを処理するため
のメタデータを取得します。ログ コレクタにこの
データベースがインストールされていない場合、レ
ポートに必要な完全なデータセットが使用できず、
不完全または不正確な情報が表示される可能性があ
ります。詳細は、「Panorama を使用したデバイスへ
の更新のデプロイ」を参照してください。
Panorama 管理者ガイド
127
コレクタ グループの管理
ログ収集の管理
コレクタ グループからのファイアウォールの削除
専用のログ コレクタがある分散ログ収集の導入では、デバイスからコレクタ グループではなく
Panorama にログを送信する必要がある場合、コレクタ グループからそのデバイスを削除する必
要があります。
コレクタ グループからデバイスを削除して変更をコミットすると、デバイスは、自動的にログ
コレクタではなく Panorama にログを送信します。
コレクタ グループからのファイアウォールの削除
1.
[Panorama] > [コレクタ グループ] タブを選択します。
2.
目的のコレクタ グループのリンクをクリックし、[ログ転送] タブを選択します。
3.
[ 転送の優先順位のログ ] セクションで、リストから削除するデバイスを選択し、[ 削除 ] をクリック
して [OK] をクリックします。
4.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK] をクリックします。
5.
[コミット タイプ] で [コミット] をクリックし、[コレクタ グループ] を選択して、[OK] をクリックし
ます。
デバイス上にある [ 転送の優先順位のログ ] リストを一時的に削除するには、デバイスで CLI を
使用して削除できます。ただし、Panorama のコレクタ グループ設定内の割り当てられたファ
イアウォールを削除する必要があります。削除しないと、次回コレクタ グループに変更をコ
ミットしたとき、デバイスは割り当てられたログ コレクタにログを送信するように再設定され
ます。
128
Panorama 管理者ガイド
ログ収集の管理
Panorama へのログ転送の確認
Panorama へのログ転送の確認
これで、ログ コレクタを管理対象コレクタとして追加し、コレクタ グループを作成して設定
し、指定されたコレクタ グループにログを転送する管理対象ファイアウォールを割り当てて管
理できたので、次は正常に設定されているかどうかをテストできます。
Panorama へのログ転送の確認
ステップ 1
管 理 対 象 フ ァ イ ア ウ ォ ー ル 1.
で、ファイアウォールに [ 転送 2.
の優先順位のログ ] リストがあ
り、設定されたログ コレクタ
にログが転送されていること
を確認します。
この情報をファイアウォール
の Web インターフェイスから
表示することはできません。
ファイアウォールで CLI にアクセスします。
以下のコマンドを入力します。
• show log-collector preference-list
コレクタ グループに割り当てたログ コレクタが 1 つ
のみの場合、画面上の出力は以下のようになります。
Log collector Preference List
製造番号 : 003001000024
IP Address:10.2.133.48
• show logging-status
画面上の出力は以下のようになります。
ステップ 2
Panorama でログ収集レートを確 [Panorama] > [管理対象コレクタ] タブの [Statistics] リン
認します。
クをクリックして、Panorama で受信されている平均ログ
数/秒を表示します。
Panorama 管理者ガイド
129
ログ転送とバッファのデフォルトの変更
ログ収集の管理
ログ転送とバッファのデフォルトの変更
ファイアウォールが Panorama へのログ送信に使用するログ転送モードを定義できます。高可用
性設定に設定する場合は、どの Panorama ピアがログを受信するかを指定します。これらのオプ
ションにアクセスするには、[Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングお
よびレポート設定] を編集して、[ログのエクスポートとレポート] タブを選択します。

ファイアウォールのログ転送モードを定義します。ファイアウォールは、バッファ済みログ
転送モードか、ライブ モードログ転送モードのどちらかで、Panorama（M-100 アプライアン
スと Panorama バーチャル アプライアンスの両方に関連）にログを転送できます。
ログ オプション
内容
デバイスから転送するバッファ 各管理対象ファイアウォールにログのバッファリングを許可し、
済みログ
30 秒間隔でログを Panorama に送信します（ユーザー設定不可）。
デフォルト : 有効
バッファ済みログ転送は、ファイアウォールから Panorama への接続
が失われたときに、非常に役に立ちます。ファイアウォールは、ロ
グ エントリをローカル ハード ディスクにバッファして、Panorama に
最後に送信されたログ エントリを記録するためのポインタを保持し
ます。接続が復元されると、ファイアウォールは、残りの先頭から
ログの転送を再開します。
バッファに使用できるディスク領域は、プラットフォームへのログ
ストレージの割り当てと、まだ循環利用されていないログの量に
よって異なります。ファイアウォールが長時間切断され、最後に転
送されたログが循環利用のために削除された場合は、再接続時に
ローカル ハード ディスクからすべてのログが Panorama に転送されま
す。ファイアウォールのローカル ハード ディスク上に使用可能な領
域がなくなると、新しいイベントをロギングできるように最も古い
エントリが削除されます。
デバイスからのライブ モード ロ ライブ モードでは、管理対象ファイアウォールがすべてのログ トラ
ンザクションをファイアウォール上に記録するのと同時に Panorama
グ転送
このオプションは、[デバイスから に送信します。
転送するバッファ済みログ] チェッ
ク ボックスがオフの場合に有効
になります。

130
高可用性（HA）設定の Panorama バーチャル アプライアンス上にログ転送設定を定義します。
–
仮想ディスクにロギングする場合、アクティブ - プライマリ Panorama ピアのローカル
ディスクへのロギングのみを有効にします。デフォルトでは、HA 設定の Panorama ピア
は両方ともログを受信します。
–
NFS にロギングする場合、ファイアウォールが、フェイルオーバー後にプライマリに昇格
したセカンダリ Panorama ピアに、新しく生成されたログのみを送信できるようにします。
Panorama 管理者ガイド
ログ収集の管理
ログ オプション
ログ転送とバッファのデフォルトの変更
関連
内容
ローカル ディスクへのアクティ 仮想ディスクにロギングして アクティブ - プライマリ Panorama ピア
い て、高 可 用 性（HA）設 定 のみがローカル ディスクにログを保
ブ プライマリ ログのみ
に
セ ッ ト ア ッ プ さ れ て い る 存するように設定できます。
デフォルト : 無効
Panorama バーチャル アプラ
イアンス。
プライマリへの変換時に新規ロ ネットワーク ファイル シス
グのみを取得
テム（NFS）データストアに
マウントされていて、高可用
デフォルト : 無効
性（HA）設 定 に セ ッ ト ア ッ
プ さ れ て い る Panorama バ ー
チャル アプライアンス。
NFS ロギングを使用すると、Panorama
サーバーのペアを高可用性設定にし
ている場合、プライマリ Panorama ピ
アのみが NFS データストアをマウン
トします。そのため、NFS データスト
アに書き込めるプライマリ Panorama
ピアにのみ、ファイアウォールから
ログを送信できます。
[ プライマリへの変換時に新規ログのみ
を取得 ] オプションをオンにすると、
管理者は、HA フェイルオーバーが発
生 し た と き に、管 理 対 象 フ ァ イ ア
ウォールが新しく生成されたログの
みを Panorama に送信するように設定
で き ま す。こ の イ ベ ン ト は、ア ク
ティブ-セカンダリ Panorama がプライ
マリに昇格して、NFS へのロギング
を 開 始 で き る よ う に な る と、ト リ
ガーされます。この動作を有効にす
る の は、通 常、Panorama へ の 接 続 が
復元されるまで長時間かかったとき
に、ファイアウォールが大量のバッ
ファ済みログを送信しないようにす
るためです。
Panorama 管理者ガイド
131
Panorama から外部の宛先へのログ転送の有効化
ログ収集の管理
Panorama から外部の宛先へのログ転送の有効化
Panorama では、集約ロギング、電子メール通知、および SNMP トラップを外部サーバーに転送
できます。Panorama からログを転送すると、ファイアウォールの負荷が軽減され、信頼性の高
い合理化されたアプローチで、Syslog/SNMP トラップ / 電子メール通知をまとめてリモートの宛
先に転送できます。
以下の表を使用して、Panorama からのログ転送を設定にします。
表 : Panorama から外部の宛先へのログ転送
プラットフォーム / 導入
Panorama ログの転送
ファイアウォール ログの転送
ファイアウォール ログを転送す
Panorama バーチャル アプライア Panorama ログを転送する方法:
ンス
[Panorama] > [ログ設定] > [シス るには、[Panorama] > [ ログ設定 ]
の順に選択し、各ログ タイプ（[シ
テム]
ステム]、[設定]、[HIP マッチ]、
[Panorama] > [ログ設定] > [設定]
[トラフィック]、[脅威]、および
[WildFire]）のタブを選択し
ます。
以下を使用する分散ログ収集デプ Panorama ローカル ログと管理対 Panorama がコレクタ グループで
象コレクタ ログの両方を転送す 集約したファイアウォール ログ
ロイ環境
を転送するには、[Panorama] > [コ
• デフォルトのコレクタ/管理対象 るには、以下を選択します。
コレクタを搭載する Panorama [Panorama] > [ログ設定] > [シス レクタ グループ ] の順に選択し、
コレクタ グループを選択します。
テム]
M-100 アプライアンス
次に、[コレクタ ログ転送] タブを
[Panorama] > [ログ設定] > [設定]
または
選択して、各ログ タイプ（[ シス
• 管理対象コレクタを搭載する
テム]、[設定]、[トラフィック]、
Panorama バーチャル アプライ
[脅威]、[HIP マッチ]、および
アンス
[WildFire]）のタブを選択します。
Panorama からファイアウォール ログを転送するには、「Panorama へのログ転送の有効化」
のタスクを完了している必要があります。
132
Panorama 管理者ガイド
ログ収集の管理
Panorama から外部の宛先へのログ転送の有効化
Panorama から外部の宛先へのログ転送の有効化
ステップ 1
ログを転送する外部の各宛先 1.
のサーバー プロファイルを
セットアップします。
以下の 1 つ以上のサーバー プロファイルをセットアッ
プします。
a. SNMP: [Panorama] > [サーバー プロファイル] >
[SNMP トラップ] の順に選択します。
b. 電子メール: [Panorama] > [サーバー プロファイル] >
[電子メール] の順に選択します。
c. Syslog: [Panorama] > [サーバー プロファイル] >
[Syslog] の順に選択します。
ログを Syslog サーバーに転送するには、UDP、TCP ま
たは SSL を使用するように転送方法を設定します。
デフォルトでは、各 Syslog エントリのヘッダー フォー
マットとして FQDN が使用されます。これは、ロ
グを転送するアプライアンス（Panorama または管理
対象コレクタ）のホスト名とドメイン名（設定され
ている場合）になります。ログ データには、ログ
エントリを生成したファイアウォールの一意識別子
が含まれます。ヘッダー フォーマットを選択する
ことで、一部のセキュリティ情報およびイベント管
理（SIEM）サ ー バ ー の ロ グ デ ー タ を よ り 柔 軟 に
フィルタリングおよびレポートできます。
Syslog ヘッダーに表示される内容を変更するには、
[Panorama] > [ セットアップ ] > [ 管理 ] の順に選択
し、[ ロギングおよびレポート設定 ] セクションを編
集して、[ログのエクスポートとレポート] タブを選
択し、[Syslog のホスト名フォーマット ] ドロップ
ダウンで、[FQDN]、[ホスト名]、[IPv4 アドレス]、
または [IPv6 アドレス] を選択します。
これは、グローバル設定であるため、アプラ
イ ア ン ス で 設定 さ れ て い るす べ て の Syslog
サーバー プロファイルに適用されます。
Panorama 管理者ガイド
133
Panorama から外部の宛先へのログ転送の有効化
ログ収集の管理
Panorama から外部の宛先へのログ転送の有効化（続き）
ステップ 2
Syslog サーバーでクライアント 送信デバイス（ファイアウォールまたは Panorama）が Syslog
認証が必要な場合、保護された サーバーと通信できることを確認するために、以下を実
通信用の証明書を生成します。 行する必要があります。
• 同じ信頼された認証局によって署名された証明書を
サーバーと送信デバイスに設定する必要があります。
または、Panorama やファイアウォールで自己署名証明
書を生成し、その証明書をファイアウォール /Panorama
からエクスポートして、Syslog サーバーにインポートす
ることもできます。
• 信頼された認証局または自己署名証明書を使用して証
明書を生成します。この証明書には、（共通名として）
送信デバイスの IP アドレスが含まれていて、保護され
た Syslog 通信で使用できます。Syslog サーバーは、この
証明書を使用して、ファイアウォールまたは Panorama
が Syslog サーバーと通信できることを確認します。
以下の手順を使用して、ファイアウォールまたは Panorama
で証明書を生成します。
1. [Panorama] > [証明書の管理] > [証明書] の順に選択し
ます。
134
2.
[生成] をクリックして、信頼された認証局または自己
署名認証局によって署名される新しい証明書を作成し
ます。
3.
証明書の名前を入力します。
4.
[共通名] に、Syslog サーバーにログを送信するデバイス
の IP アドレスを入力します。
5.
証明書を Panorama の共有証明書にする場合や、複数の
仮想システムのファイアウォールのすべての仮想シス
テムで共有する場合、[共有] を選択します。
6.
[署名者] で、信頼された認証局、または Syslog サーバー
と送信デバイスの両方で信頼されている自己署名認証
局を選択します。
7.
[生成] をクリックします。証明書とキー ペアが生成さ
れます。
8.
証明書名のリンクをクリックし、[保護された Syslog の
証明書 ] チェック ボックスをオンにして、Syslog サー
バーに安全にアクセスできるようにします。
9.
[証明書] ページで、証明書の詳細を確認します。[用途]
列で、[ 保護された Syslog の証明書 ] とマークされてい
ることを確認します。
Panorama 管理者ガイド
ログ収集の管理
Panorama から外部の宛先へのログ転送の有効化
Panorama から外部の宛先へのログ転送の有効化（続き）
ステップ 3
（管理対象コレクタの場合の 1.
み）[Panorama] で、保護された 2.
Syslog の通信に使用する証明書
を選択します。
信 頼 さ れ た 認 証 局 証 明 書 を 3.
Panorama にインポートしてお
く か、Panorama で 生成 して お
く必要があります。[保護された
Syslog の証明書] として使用で
きるように、証明書を有効に
しておく必要があります。
ステップ 4
[Panorama] > [管理対象コレクタ] の順に選択します。
[追加] をクリックして新しい管理対象コレクタを追加
するか、リンクを選択して管理対象コレクタの設定を
編集します。
[ 全般 ] を選択して、[ 保護された Syslog の証明書 ] ド
ロップダウンから証明書を選択します。
[Panorama] > [証明書の管理] > [証明書] で使用
できる証明書からのみ選択できます。
ログを転送するように Panorama プラットフォーム / デプロイ環境のログを転送する方法に
を設定します。
ついては、「表 : Panorama から外部の宛先へのログ転送」
を参照してください。
Panorama 管理者ガイド
135
ログ収集デプロイ環境
ログ収集の管理
ログ収集デプロイ環境
以下のトピックでは、最も一般的なデプロイ環境でログ収集を設定する方法について説明します。
以下のトピックのデプロイ環境は、すべて Palo Alto Networks 推奨の高可用性（HA）設定の
Panorama を表しています。

ログ収集デプロイ環境の計画

専用のログ コレクタを使用する Panorama のデプロイ

デフォルトのログ コレクタを使用する Panorama のデプロイ

ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデプロイ
ログ収集デプロイ環境の計画
要件に最も適したログ収集デプロイ環境を判断する方法については、以下のトピックを参照し
てください。

高可用性

Panorama とログ コレクタのプラットフォーム

1 つまたは複数のログ コレクタが含まれるコレクタ グループ

ログ転送オプション
高可用性
高可用性（HA）設定で Panorama 管理サーバーをデプロイし、（サーバー障害に備えて）設定
バックアップで保存されないコンポーネントの自動回復を有効にすることをお勧めします。詳
細は、「非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する」を参照
してください。HA デプロイ環境の場合、Panorama 管理サーバーでは、アクティブ / パッシブ設定
のみがサポートされます。
136
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
Panorama とログ コレクタのプラットフォーム
管理対象ファイアウォールの地理的分布、ロギング率、および数量に基づいて、Panorama 管理
サーバーおよびログ コレクタで使用するプラットフォームを決定します（プラットフォームの
仕様および推奨事項は、「Panorama プラットフォーム」を参照してください）。
最初にデフォルトのログ コレクタを使用してログ収集を実装したが、後でこれらでサポートさ
れているよりも多くのストレージまたは高いロギング率が必要になった場合、専用のログ コレ
クタ（ログ コレクタ モードの M-100 アプライアンス）を備えたデプロイ環境に切り替えるこ
とができます。また、デフォルトのログ コレクタと専用のログ コレクタの両方が含まれるハ
イブリッド デプロイ環境を実装することもできます。ただし、最初に専用のログ コレクタを
使用してログ収集を実装した場合、後でデフォルトのログ コレクタのみが含まれるデプロイ環
境に切り替えると、ストレージ容量が減少するため、ログが失われます。
離れた場所にファイアウォールがある場合、サーバーがログを処理するときのロギング率に問
題がなくても、Panorama 管理サーバーとの接続の帯域幅が不足して、必要なロギング率に対応
できない可能性があります。このようなデプロイ環境では、ファイアウォールの近くにある専
用のログ コレクタにログを転送することで、帯域幅の制限を解決できる場合があります。
以下の表に、ファイアウォール数に基づいた Panorama 管理サーバーの選択の概要を示します。
管理対象
ファイアウォール数
Panorama 管理サーバー
≤ 10
Panorama バーチャル アプライアンス
または
Panorama モードの M-100 アプライアンス
11-1,000
Panorama モードの M-100 アプライアンス
以下の表に、ファイアウォールのロギング率に基づいたログ コレクタの選択の概要を示します。
ロギング率
ログ コレクタ
≤ 10,000 ログ / 秒
Panorama 管理サーバーによって異なります。
• バーチャル アプライアンス — Panorama は、ログ コレクタを使用せずにログを収
集します。
• M-100 アプライアンス — デフォルトのローカル ログ コレクタ。
> 10,000 ログ / 秒
ログ コレクタ モードの M-100 アプライアンス。専用の各ログ コレクタは、最大
50,000 ログ / 秒を処理し、4 TB のログ データを保存できます。ロギングの出力がこ
れらのしきい値を超える場合、必要に応じて専用のログ コレクタを追加します。
1 つまたは複数のログ コレクタが含まれるコレクタ グループ
コレクタ グループには 1 つのログ コレクタのみを割り当てることをお勧めします。ただし、必要
な保持期間に 1 つのファイアウォールで 4 TB（M-100 アプライアンスで保存できる最大値）を超
えるログが生成される場合、ログを受信するコレクタ グループに複数のログ コレクタを割り当て
る必要があります。後者の場合のロギングの仕組み、およびリスクと推奨されるリスク軽減の詳
細は、「複数のログ コレクタを含むコレクタ グループに関する注意事項」を参照してください。
Panorama 管理者ガイド
137
ログ収集デプロイ環境
ログ収集の管理
ログ転送オプション
デフォルトでは、各ファイアウォールはログ ファイルをローカルで生成して保存します。
Panorama を使用して、ログのモニタリングおよびレポートの生成を一元的に行うには、ログを
Panorama に転送する必要があります。長期間のデータのアーカイブを要求するコンプライアン
ス ポリシーがある場合、ログを外部サービスに転送してアーカイブ、通知、分析を行うことも
できます。外部サービスには、Syslog サーバー、電子メール サーバー、または SNMP トラップ
サ ー バ ー が 含 ま れ ま す。ロ グ を 外 部 サ ー ビ ス に 転 送 す る デ バ イ ス（フ ァ イ ア ウ ォ ー ル、
Panorama バーチャル アプライアンス、M-100 アプライアンス）は、ログを適切なフォーマット
（Syslog メッセージ、電子メール通知、SNMP トラップ）に変換します。外部サービスごとに
サーバー プロファイルを作成する必要があります。サーバー プロファイルには、リモート
サーバーへのアクセス方法と、必要に応じてサービスへの認証方法を定義します。
Panorama から外部の宛先にローカルに生成されるシステム ログおよび設定ログを転送する方
法については、「Panorama のモニタリング」を参照してください。
以下の方法でログ転送を設定できます。

ファイアウォールから Panorama、Panorama から外部サービスにログを転送する — この設定
は、ファイアウォールと外部サービス間の接続にロギング率を維持できる十分な帯域幅がな
いデプロイ環境に適しています（通常、リモート接続の場合に使用されます）。この設定で
は、一部の処理が Panorama にオフロードされるため、ファイアウォールのパフォーマンス
が向上します。
Panorama へのログ転送の有効化を行うために、サーバー プロファイルは必要ありません。
Panorama から外部サービスへのログ転送を設定するには、[Panorama] > [サーバー プロファ
イル] オプションを使用してサーバー プロファイルを定義します（「Panorama から外部の宛
先へのログ転送の有効化」を参照）。
図 : Panorama、外部サービスの順にログを転送
138
Panorama 管理者ガイド
ログ収集の管理

ログ収集デプロイ環境
ファイアウォールから Panorama と外部サービスに同時にログを転送する — この設定では、
Panorama と外部サービスの両方が個別のログ転送フローのエンドポイントになります。ファ
イアウォールは、Panorama を使用せずにログを外部サービスに転送します。この設定は、
ファイアウォールと外部サービス間の接続にロギング率を維持できる十分な帯域幅があるデ
プロイ環境に適しています（通常、ローカル接続の場合に使用されます）。
ファイアウォールから外部サービスにログを直接転送するには、テンプレートの [Device] >
[サーバー プロファイル] オプションを使用してサーバー プロファイルを定義します。
「Panorama へのログ転送の有効化」には、ファイアウォールから Panorama と外部サービス
に同時にログを転送する方法が記載されています。
図 : 外部サービスと Panorama に同時にログを転送

ファイアウォールから外部サービスにログを直接転送し、Panorama からも外部サービスにログ
を転送する — この設定は前の 2 つの方法のハイブリッドです。これは、重複する Syslog メッ
セージを複数のセキュリティ情報およびイベント管理（SIEM）ソリューションに送信する
必要があるデプロイ環境に適しています。各ソリューションには、独自のメッセージ フォー
マット（Splunk や ArcSight など）があります（この重複は、SNMP トラップまたは電子メー
ル通知には適用されません）。この設定の場合、以下を行うためのサーバー プロファイルを
定義する必要があります。
–
ファイアウォールから外部サービスにログを直接転送する — テンプレートの [Device] >
[サーバー プロファイル] オプションを使用します。
–
Panorama から外部サービスにログを転送する — [Panorama] > [サーバー プロファイル]
オプションを使用します。
Panorama 管理者ガイド
139
ログ収集デプロイ環境
ログ収集の管理
専用のログ コレクタを使用する Panorama のデプロイ
以下の図は、分散ログ収集デプロイ環境における Panorama を示しています。これらの例では、
Panorama 管理サーバーは、アクティブ / パッシブ高可用性（HA）用に設定された、2 つの
Panorama モードの M-100 アプライアンスで構成されています。または、Panorama バーチャル ア
プライアンスのペアを使用することもできます（管理するファイアウォールが 10 個以下の場
合）。ファイアウォールは専用のログ コレクタ（ログ コレクタ モードの M-100 アプライアン
ス）にログを送信します。これは、ファイアウォールが 10,000 ログ / 秒を超えるロギング率で
ログを生成する場合に推奨される設定です（デプロイ環境のオプションの詳細は、「ログ収集
デプロイ環境の計画」を参照してください）。
各コレクタ グループに 1 つのログ コレクタのみを割り当てることをお勧めします（「図 : コレ
クタ グループごとに 1 つの専用のログ コレクタ」）。ただし、必要なログ保持期間に 1 つの
ファイアウォールで 4 TB を超えるログが生成される場合、ログを受信するコレクタ グループに
複数のログ コレクタが必要になります（「図 : コレクタ グループごとに複数の専用のログ コレ
クタ」）。後者の設定に関連するリスクと推奨されるリスク軽減の詳細は、「複数のログ コレ
クタを含むコレクタ グループに関する注意事項」を参照してください。
図 : コレクタ グループごとに 1 つの専用のログ コレクタ
140
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
図 : コレクタ グループごとに複数の専用のログ コレクタ
専用のログ コレクタを使用する Panorama をデプロイするには、以下の手順を実行します。すで
に実行した手順（初期セットアップなど）は省略します。
専用のログ コレクタを使用する Panorama のデプロイ
ステップ 1
Panorama 管理サーバー（バー 各 M-100 アプライアンス :
チャル アプライアンスまたは 1. M-100 アプライアンスをラックマウントします。手順は、
M-100 アプライアンス）および
『M-100 ハードウェア リファレンス ガイド』を参照し
専用のログ コレクタの初期
てください。
セットアップを実行します。 2. M-100 アプライアンスの初期設定の実行。
各バーチャル アプライアンス（存在する場合）:
1. ESX(i) サーバーでの Panorama のインストール。
2.
Panorama バーチャル アプライアンスの初期設定の実行。
各 Panorama アプライアンス（すべてのタイプ）:
1. Panorama の登録とライセンスのインストール。
2.
コンテンツ更新および、Panorama ソフトウェア更新の
インストール。
Panorama 管理サーバー:
1. Panorama での HA のセットアップ。
Panorama 管理者ガイド
141
ログ収集デプロイ環境
ログ収集の管理
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 2
専用のログ コレクタとして機能 1.
する各 M-100 アプライアンス
で、Panorama モー ドか らロ グ 2.
コレクタ モードへの切り替え
を行います。
専用のログ コレクタの Panorama CLI へのログインを行
います。
request system logger-mode logger コマンドを入力し、
「Yes」と入力して、ログ コレクタ モードへの変更を
確認します。アプライアンスが再起動します。
M-100 アプライアンスの
モードを切り替える
と、既 存 の ロ グ が す べ
て 削 除 さ れ ま す。モ ー
ド を 切 り 替 え る と、
M-100 アプライアンスは
CLI にはアクセスできま
すが、Panorama 設定は失
われ、Web インターフェ
イスにアクセスできな
くなります。
ステップ 3
（任意）デフォルトの 1 TB よ 専用のログ コレクタの CLI で、以下のコマンドを入力
りも大きなストレージを必要 し、プロンプトが表示されたら要求を確認します。
request system raid add B1
とする専用のログ コレクタご
request system raid add B2
とに、M-100 アプライアンスの
ストレージの拡張を行いま
す。この例では、ディスク ベ
イ B1 と B2 のドライブを使用
しています。
ステップ 4
専用の各ログ コレクタの分散ロ 専用のログ コレクタの CLI で、以下のコマンドを入力し
グ収集の接続を有効にします。 ます。<IP address1> と <IP address2> は、それぞれプライ
マリおよびセカンダリ Panorama の管理インターフェイス
を表します。
set deviceconfig system panorama-server <IPaddress1>
set deviceconfig system panorama-server-2 <IPaddress2>
commit
ステップ 5
専用の各ログ コレクタのシリア 専用のログ コレクタの CLI で、以下のコマンドを入力
ル 番 号 を 記 録 し ま す。こ れ し、シリアル番号を表示します。
show system info
は、ログ コレクタを管理対象
コレクタとして追加するとき
に必要になります。
ステップ 6
（任意）ログ コレクタのモニタ すべての PAN-OS MIB ファイルを SNMP 管理ソフトウェア
リングを行う SNMP 管理ソフ にロードし、必要に応じてコンパイルします。具体的な手
トウェアを設定します。
順は、Simple Network Management Protocol（SNMP）マネー
ジャ ドキュメントを参照してください。
142
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 7
ステップ 8
管 理 対 象 デ バ イ ス と し て の 1.
ファイアウォールの追加。こ
の手順は、ログ コレクタに割
り当てるすべてのファイア
ウォールで実行します。
2.
ファイアウォールをデバイス グ
ループとテンプレートに割り当
てます。この手順は、Panorama
へのログ転送を設定するための
前提条件です。
Panorama 管理者ガイド
ログ コレクタに割り当てる各ファイアウォールの初期
セ ッ ト ア ッ プ を 実 行 し ま す（ま だ 行 っ て い な い 場
合）。詳細は、『PAN-OS 管理者ガイド』を参照して
ください。
プライマリ Panorama 管理サーバー ピアの Web イン
ターフェイスで、[Panorama] > [管理対象デバイス] の
順に選択し、[追加] をクリックして、各ファイアウォー
ルのシリアル番号を 1 行ずつ入力し、[OK] をクリック
します。
プライマリ Panorama 管理サーバー ピアの Web インター
フェイスを使用して、以下のタスクを実行します。
1. デバイス グループの追加。
2.
テンプレートの追加。
143
ログ収集デプロイ環境
ログ収集の管理
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 9
Panorama へのログ転送の設定。 プライマリ Panorama 管理サーバー ピアの Web インター
フェイスを使用して、ログ転送を設定します。具体的な
タスクは、ログ タイプによって異なります。
• トラフィック ログ、脅威ログ、WildFire ログ :
a. 追加したデバイス グループを選択します。
b. [Objects] > [ ログ転送 ] の順に選択し、[ 追加 ] をク
リックします。
c. ログ転送プロファイルの [名前] を入力し、目的のロ
グ タイプの [Panorama] チェック ボックスをオン
にして、[OK] をクリックします。
d. ログ転送プロファイルを目的のルールに割り当てま
す。たとえば、[Policies] > [セキュリティ] の順に選
択し、ルールを選択します。次に、[アクション] タ
ブで、追加した [ログ転送] プロファイルを選択し、
[OK] をクリックします。
• システム ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [システム] の順に選択し、重
大度レベルを選択します。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
• 設定ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [設定] の順に選択し、編集
アイコンをクリックします。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
144
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 10 （任意）Panorama から外部の宛 プライマリ Panorama 管理サーバー ピアの Web インター
先へのログ転送の有効化。
フェイスを使用して、以下の手順を実行します。
1. ログの転送先となる外部サービスに応じて、1 つ以上の
サーバー プロファイルを作成します。
• SNMP: [Panorama] > [サーバー プロファイル] >
[SNMP トラップ]
• Syslog: [Panorama ] > [サーバー プロファイル] >
[Syslog]
• 電子メール: [Panorama ] > [サーバー プロファイル] >
[電子メール]
2.
Panorama および専用のログ コレクタが生成するシステ
ム ログを転送するには、[Panorama] > [ログ設定] > [シ
ステム] の順に選択し、重大度レベルごとにサーバー プ
ロファイルを割り当てます。
3.
Panorama および専用のログ コレクタが生成する設定
ログを転送するには、[Panorama] > [ ログ設定 ] > [ 設
定 ] の順に選択し、サーバー プロファイルを割り当て
ます。
コレクタ グループを設定する場合、ファイア
ウォールが生成するすべてのログ タイプにサー
バ ー プ ロ フ ァ イ ル を 割 り 当 て ま す（ス テ ッ
プ 13）。
ステップ 11 （任意）ログ転 送と バッフ ァ プライマリ Panorama 管理サーバー ピアの Web インター
のデフォルトの変更。
フェイスを使用して、以下の手順を実行します。
1. [Panorama] > [セットアップ] > [管理] の順に選択し、
[ロギングおよびレポート設定] を編集します。
2.
必要に応じて、[ ログのエクスポートとレポート ] パラ
メータを定義します。
[ デバイスから転送するバッファ済みログ ] オプ
ションを選択することをお勧めします。
このページの [ログ保存エリア] パラメータ（ロ
グ割り当て）は、Panorama がローカルに生成す
るシステム ログと設定ログにのみ適用されま
す。ステップ 13 では、ファイアウォールおよ
びログ コレクタが Panorama に転送するログの
ストレージ パラメータを設定します。
Panorama 管理者ガイド
145
ログ収集デプロイ環境
ログ収集の管理
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 12 専用のログ コレクタごとに管 プライマリ Panorama 管理サーバー ピアの Web インター
理対象コレクタの設定を行い フェイスを使用して、以下の手順を実行します。
ます。
1. [Panorama] > [管理対象コレクタ] の順に選択し、[追
加] をクリックします。
2.
[全般] タブの [コレクタ シリアル番号] フィールドに、
記録したログ コレクタのシリアル番号を入力します。
3.
[Panorama サーバー IP] フィールドに、プライマリ
Panorama 管理サーバー ピアの IP アドレスを入力し、
[Panorama サーバー IP 2] フィールドに、セカンダリ
Panorama 管理サーバー ピアの IP アドレスを入力し
ます。
前述のフィールドは必須です。
4.
[認証] タブで、パスワードの [モード] を選択し、[パス
ワード]（デフォルトは admin）を入力します。
5.
[管理] タブで、管理インターフェイスの以下のいずれ
かのフィールド セットを入力します。
• IPv4 — [IP アドレス]、[ネットマスク]、および [デ
フォルト ゲートウェイ]
• IPv6 — [IPv6 アドレス/プレフィックス長] および [デ
フォルト IPv6 ゲートウェイ]
前述のフィールドは必須です。
146
6.
「M-100 アプライアンスの初期設定の実行」のタスクで
Ethernet 1 および / または Ethernet 2 インターフェイス
を設定している場合、[Ethernet 1] および / または
[Ethernet 2] タブで設定を行います。設定を行う前
に、対応するタブで [Ethernet 1]/[Ethernet 2] チェッ
ク ボックスをオンにする必要があります。
7.
[全般] タブに戻り、[デバイス ログ収集] および [コレ
クタ グループ通信] に使用するインターフェイスを選択
します。デフォルトでは、Panorama は管理（mgmt）イ
ンターフェイスを使用します。[Ethernet 1] および
[Ethernet 2] は、対応するタブでこれらを設定した場
合にのみ使用できます。
8.
ログ コレクタのストレージ容量を増やした場合、[ディ
スク] タブを選択し、[追加] をクリックします。次に、
ドロップダウンから追加の各ディスク ペアを選択し
て、[OK] をクリックします。
9.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 13 コレクタ グループの設定。
プライマリ Panorama 管理サーバー ピアの Web インター
フェイスを使用して、以下の手順を実行します。
1. [Panorama] > [コレクタ グループ] の順に選択し、[追
加] をクリックして、コレクタ グループの [名前] を入
力します。コレクタ グループを保存すると、その名前
を変更できなくなります。
2. ログ コレクタをモニターするように SNMP 管理ソフ
トウェアを設定した場合、[モニタリング] タブを選択
し、SNMP を設定します。
3. [デバイス ログ転送] タブの [コレクタ グループのメン
バー] セクションで、1 つ以上のログ コレクタをグ
ループに割り当てます。
4. [デバイス ログ転送] タブの [転送の優先順位のログ] セ
クションで、このコレクタ グループのログ コレクタ
数に基づいてファイアウォールを割り当てます。
• 1 つのログ コレクタ — 「図: コレクタ グループごと
に 1 つの専用のログ コレクタ」のように、そのログ
コレクタにログを転送するファイアウォールを割り
当てます。
• 複数のログ コレクタ — 各ファイアウォールを両方
のログ コレクタに割り当てて冗長性を確保しま
す。この設定を行う場合、「図 : コレクタ グループ
ごとに複数の専用のログ コレクタ」のように、半
分のファイアウォールでログ コレクタ 1 を最優先に
し、その他の半分のファイアウォールでログ コレ
クタ 2 を最優先にします。
5.
[全般] タブに戻り、[ログ保存エリア] の値をクリック
して、ログ タイプ（システム、設定、HIP マッチ、ト
ラフィック、脅威、および WildFire）ごとに目的のス
トレージ容量（ログ割り当て）を割り当てます。これ
は、フ ァ イ ア ウ ォ ー ル お よ び ロ グ
コレクタが
Panorama に転送するログに適用されます。
6.
Panorama から外部の宛先にファイアウォール ログを転
送するためのサーバー プロファイルを作成した場合、
[コレクタ ログ転送] タブを選択し、目的の外部サービ
スにプロファイルを割り当てます。各コレクタ グルー
プで同じプロファイルを使用することも、異なるプロ
ファイルを使用することもできます。
7.
[OK] をクリックして、変更内容を保存します。
次の手順は、デプロイ環境によって異なります。
• 各コレクタ グループに 1 つのログ コレクタのみがある
場合、コレクタ グループごとにステップ 13 を繰り返し
てから次に進みます。
• このコレクタ グループにすべてのログ コレクタを割り
当てた場合、ステップ 14 に進みます。
Panorama 管理者ガイド
147
ログ収集デプロイ環境
ログ収集の管理
専用のログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 14 変更をコミットします。
1.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
2.
[コミット] をクリックし、[コミット タイプ] で [コレク
タ グループ] を選択して、追加したコレクタ グループ
を選択し、[OK] をクリックします。
デフォルトのログ コレクタを使用する Panorama のデプロイ
以下の図は、一元的なログ収集デプロイ環境の Panorama を示しています。これらの例では、
Panorama 管理サーバーは、アクティブ / パッシブ高可用性（HA）用に設定された、2 つの
Panorama モー ド の M-100 ア プラ イ アン ス で構 成 され て いま す。ファ イ アウ ォ ール は、各
Panorama M-100 アプライアンスのデフォルト（事前設定された）ローカル ログ コレクタにログ
を送信します。これは、Panorama が 10 個を超えるファイアウォールを管理し、ファイアウォー
ルが最大で 10,000 ログ / 秒を生成する場合に推奨されるデプロイ環境です。（デプロイ環境の
オプションの詳細は、「ログ収集デプロイ環境の計画」を参照してください）。
各コレクタ グループに 1 つのログ コレクタのみを割り当てることをお勧めします（「図 : コレ
クタ グループごとに 1 つのデフォルトのログ コレクタ」）。ただし、必要なログ保持期間に
1 つのファイアウォールで 4 TB を超えるログが生成される場合、ログを受信するコレクタ グ
ループに複数のログ コレクタが必要になります（「図 : コレクタ グループごとに複数のデフォ
ルトのログ コレクタ」）。後者の設定に関連するリスクと推奨されるリスク軽減の詳細は、
「複数のログ コレクタを含むコレクタ グループに関する注意事項」を参照してください。
このデプロイ環境を実装した後で、ロギング率が増加して 10,000 ログ / 秒を超えるようになっ
た場合、「専用のログ コレクタを使用する Panorama のデプロイ」で説明されているように、
専用のログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）を追加することをお勧
めします。このような拡張を行う場合、必要に応じてデフォルトのログ コレクタから専用のロ
グ コレクタにファイアウォールを再割り当てします。
図 : コレクタ グループごとに 1 つのデフォルトのログ コレクタ
148
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
図 : コレクタ グループごとに複数のデフォルトのログ コレクタ
デフォルトのログ コレクタを使用する Panorama をデプロイするには、以下の手順を実行しま
す。すでに実行した手順（初期セットアップなど）は省略します。
デフォルトのログ コレクタを使用する Panorama のデプロイ
ステップ 1
各 M-100 アプライアンスの初期 1.
セットアップを実行します。 2.
M-100 アプライアンスの初期設定の実行。
Panorama の登録とライセンスのインストール。
3.
コンテンツ更新および、Panorama ソフトウェア更新の
インストール。
4.
Panorama での HA のセットアップ。
ステップ 2
（任意）デフォルトの 1 TB よ M-100 アプライアンスの CLI で、以下のコマンドを入力
りも大きなストレージを必要 し、プロンプトが表示されたら要求を確認します。
request system raid add B1
とする Panorama アプライアン
request system raid add B2
ス（プライマリおよびセカン
ダリ）ごとに、M-100 アプライ
アンスのストレージの拡張を
行 い ま す。こ の 例 で は、デ ィ
スク ベイ B1 と B2 のドライブ
を使用しています。
ステップ 3
M-100 アプライアンス間の接続 1.
を有効にします。
プライマリ Panorama の CLI で、以下のコマンドを入力
します。<IP address2> は、セカンダリ Panorama の管
理インターフェイスを表します。
set deviceconfig system panorama-server <IPaddress2>
commit
2.
セカンダリ Panorama の CLI で、以下のコマンドを入力
します。<IP address1> は、プライマリ Panorama の管
理インターフェイスを表します。
set deviceconfig system panorama-server <IPaddress1>
commit
Panorama 管理者ガイド
149
ログ収集デプロイ環境
ログ収集の管理
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 4
セカンダリ Panorama のデフォ 1.
ルトのログ コレクタのシリア
ル 番 号 を 記 録 し ま す。こ れ 2.
は、M-100 アプライアンスのシ
リ ア ル 番 号 で す。こ れ は、ロ
グ コレクタを管理対象コレク
タとして追加するときに必要
になります。
セカンダリ Panorama の Panorama Web インターフェイ
スへのログインを行います。
[Dashboard] タブの [一般的な情報] セクションにある
[シリアル番号] の値を記録します。
ステップ 5
（任意）ログ コレクタのモニタ すべての PAN-OS MIB ファイルを SNMP 管理ソフトウェア
リングを行う SNMP 管理ソフ にロードし、必要に応じてコンパイルします。具体的な手
トウェアを設定します。
順は、Simple Network Management Protocol（SNMP）マネー
ジャ ドキュメントを参照してください。
ステップ 6
管 理 対 象 デ バ イ ス と し て の 1.
ファイアウォールの追加。こ
の手順は、ログ コレクタに割
り当てるすべてのファイア
ウォールで実行します。
2.
ステップ 7
150
ファイアウォールをデバイス
グループとテンプレートに割
り当てます。この手順は、
Panorama へのログ転送を設定
するための前提条件です。
ログ コレクタに割り当てる各ファイアウォールの初期
セ ッ ト ア ッ プ を 実 行 し ま す（ま だ 行 っ て い な い 場
合）。詳細は、『PAN-OS 管理者ガイド』を参照して
ください。
プライマリ M-100 アプライアンスの Web インターフェイ
スで、[Panorama] > [管理対象デバイス] の順に選択し、
[追加] をクリックして、各ファイアウォールのシリア
ル番号を 1 行ずつ入力し、[OK] をクリックします。
プライマリ Panorama の Web インターフェイスを使用し
て、以下のタスクを実行します。
1. デバイス グループの追加。
2.
テンプレートの追加。
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 8
Panorama へのログ転送の設定。 プライマリ Panorama の Web インターフェイスを使用し
て、ログ転送を設定します。具体的なタスクは、ログ タ
イプによって異なります。
• トラフィック ログ、脅威ログ、WildFire ログ。
a. 追加したデバイス グループを選択します。
b. [Objects] > [ ログ転送 ] の順に選択し、[ 追加 ] をク
リックします。
c. ログ転送プロファイルの [名前] を入力し、目的のロ
グ タイプの [Panorama] チェック ボックスをオン
にして、[OK] をクリックします。
d. ログ転送プロファイルを目的のルールに割り当てま
す。たとえば、[Policies] > [ セキュリティ] の順に
選択し、ルールを選択します。次に、[アクション] タ
ブで、追加した [ ログ転送 ] プロファイルを選択し、
[OK] をクリックします。
• システム ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [システム] の順に選択し、
重大度レベルを選択します。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
• 設定ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [設定] の順に選択し、編集
アイコンをクリックします。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
Panorama 管理者ガイド
151
ログ収集デプロイ環境
ログ収集の管理
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 9
（任意）Panorama から外部の宛 プライマリ Panorama の Web インターフェイスを使用し
先へのログ転送の有効化。
て、以下の手順を実行します。
1. ログの転送先となる外部サービスに応じて、1 つ以上の
サーバー プロファイルを作成します。
• SNMP: [Panorama] > [サーバー プロファイル] >
[SNMP トラップ]
• Syslog: [Panorama ] > [サーバー プロファイル] >
[Syslog]
• 電子メール: [Panorama ] > [サーバー プロファイル] >
[電子メール]
2.
M-100 アプライアンスが生成するシステム ログを転送
するには、[Panorama] > [ログ設定] > [システム] の順
に選択し、重大度レベルごとにサーバー プロファイル
を割り当てます。
3.
M-100 アプライアンスが生成する設定ログを転送するに
は、[Panorama] > [ログ設定] > [設定] の順に選択し、
サーバー プロファイルを割り当てます。
コレクタ グループを設定する場合、ファイア
ウォールが生成するすべてのログ タイプにサー
バ ー プ ロ フ ァ イ ル を 割 り 当 て ま す（ス テ ッ
プ 13）。
ステップ 10 （任意）ログ転 送と バッフ ァ プライマリ Panorama の Web インターフェイスを使用して、
のデフォルトの変更。
以下の手順を実行します。
1. [Panorama] > [セットアップ] > [管理] の順に選択し、
[ロギングおよびレポート設定] を編集します。
2.
必要に応じて、[ログのエクスポートとレポート] パラ
メータを定義します。
[ デバイスから転送するバッファ済みログ ] オプ
ションを選択することをお勧めします。
このページの [ログ保存エリア] パラメータ（ロ
グ割り当て）は、Panorama がローカルに生成す
るシステム ログと設定ログにのみ適用されま
す。ス テ ッ プ 13 で は、フ ァ イ ア ウ ォ ー ル が
Panorama に転送するログのストレージ パラメー
タを設定します。
152
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 11 プライマリ Panorama のローカル プライマリ Panorama の Web インターフェイスを使用し
管理対象コレクタの設定を行 て、以下の手順を実行します。
います。
1. [Panorama] > [管理対象コレクタ] の順に選択し、default
ログ コレクタを選択します。
M-100 ア プ ラ イ ア ン ス に は デ
フォルトのログ コレクタが事 2. 「M-100 アプライアンスの初期設定の実行」のタスクで
個別の M-100 インターフェイスを設定した場合、[全般]
前設定されているため、追加
タブで、[デバイス ログ収集] および [コレクタ グルー
する必要はなく、編集するだ
プ通信] に使用するインターフェイスを選択します。そ
けで済みます。
れ以外の場合、Panorama はデフォルトで管理（mgmt）
インターフェイスを使用します。
Panorama 管理者ガイド
3.
プライマリ M-100 アプライアンスのストレージ容量を
増やした場合、[ディスク] タブを選択し、[追加] をク
リックします。次に、ドロップダウンから追加の各
ディスク ペアを選択します。
4.
[OK] をクリックして、変更内容を保存します。
153
ログ収集デプロイ環境
ログ収集の管理
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 12 セカンダリ Panorama のローカル プライマリ Panorama の Web インターフェイスを使用し
の管理対象コレクタの設定を て、以下の手順を実行します。
行います。
1. Panorama Web インターフェイスで、[Panorama] > [管
理対象コレクタ ] の順に選択し、[ 追加 ] をクリックし
こ れ は、セ カ ン ダ リ
ます。
Panorama のローカル ロ
グ コレクタですが、プ 2. [全般] タブの [コレクタ シリアル番号] フィールドに、
記録したセカンダリ Panorama のデフォルトのログ コ
ライマリ Panorama のロー
レクタのシリアル番号を入力します。
カル ログ コレクタでは
ないため、Panorama 管理 3.
サーバーはリモート ロ
グ コレクタとして扱い
ま す。そ の た め、プ ラ
イ マ リ Panorama の Web
インターフェイスを使
4.
用して手動で追加する
必要があります。
5.
[Panorama サーバー IP] フィールドに、プライマリ
Panorama の IP ア ド レ ス を 入 力 し、[Panorama サ ー
バー IP 2] フィールドに、セカンダリ Panorama の IP ア
ドレスを入力します。
前述のフィールドは必須です。
[ 認証 ] タブで、[ パスワード ]（デフォルトは admin）を
入力します。
[管理] タブで、セカンダリ Panorama の管理インターフェ
イスの値を使用して、以下のいずれかのフィールド
セットを入力します。
• IPv4 — [IP アドレス]、[ネットマスク]、および [デ
フォルト ゲートウェイ]
• IPv6 — [IPv6 アドレス/プレフィックス長] および [デ
フォルト IPv6 ゲートウェイ]
前述のフィールドは必須です。
154
6.
「M-100 アプライアンスの初期設定の実行」のタスクで
Ethernet 1 および / または Ethernet 2 インターフェイス
を設定している場合、[Ethernet 1] および / または
[Ethernet 2] タブで設定を行います。設定を行うに
は、対応するタブで [Ethernet 1]/[Ethernet 2] チェッ
ク ボックスをオンにする必要があります。
7.
[全般] タブに戻り、[デバイス ログ収集] および [コレク
タ グループ通信 ] に使用するインターフェイスを選択
します。デフォルトでは、Panorama は管理（mgmt）イ
ンターフェイスを使用します。[Ethernet 1] お よ び
[Ethernet 2] は、対応するタブでこれらを設定した場
合にのみ使用できます。
8.
セカンダリ M-100 アプライアンスのストレージ容量を
増やした場合、[ディスク] タブを選択し、[追加] をク
リックします。次に、ドロップダウンから追加の各
ディスク ペアを選択します。
9.
[OK] をクリックして [コミット] をクリックし、[コミッ
ト タイプ] で [Panorama] を選択して、[OK] をクリッ
クします。HA 同期が完了するまで待ってから次に進
みます。
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 13 コレクタ グループの設定。
M-100 ア プ ラ イ ア ン ス に は デ
フォルトのコレクタ グループ
が事前設定されているため、
追加する必要はなく、編集す
るだけで済みます。
プライマリ Panorama の Web インターフェイスを使用し
て、以下の手順を実行します。
1. [Panorama] > [ コレクタ グループ ] の順に選択し、プ
ライマリ Panorama の default コレクタ グループを選択
します。
2. ログ コレクタをモニターするように SNMP 管理ソフ
トウェアを設定した場合、[モニタリング] タブを選択
し、SNMP を設定します。
3. [デバイス ログ転送] タブの [コレクタ グループのメン
バー] セクションで、このコレクタ グループのログ コ
レクタ数に基づいて、ログ コレクタを割り当てます。
• 1 つのログ コレクタ — デフォルトでは、プライマ
リ Panorama のローカル ログ コレクタは、デフォル
トのコレクタ グループに事前に割り当てられてい
るため、メンバーを追加する必要はありません。
• 複数のログ コレクタ — セカンダリ Panorama のロー
カル ログ コレクタを割り当てます。プライマリ
Panorama のローカル ログ コレクタは事前に割り当
てられています。
4.
[デバイス ログ転送] タブの [転送の優先順位のログ] セ
クションで、このコレクタ グループのログ コレクタ
数に基づいてファイアウォールを割り当てます。
• 1 つのログ コレクタ — 「図: コレクタ グループごと
に 1 つのデフォルトのログ コレクタ」のように、プ
ライマリ Panorama のデフォルトのログ コレクタに
ログを転送するファイアウォールを割り当てます。
• 複数のログ コレクタ — 各ファイアウォールを両方
のログ コレクタに割り当てて冗長性を確保しま
す。この設定を行う場合、「図 : コレクタ グループ
ごとに複数のデフォルトのログ コレクタ」のよう
に、半分のファイアウォールでログ コレクタ 1 を最
優先にし、その他の半分のファイアウォールでログ
コレクタ 2 を最優先にします。
5.
6.
[ 全般 ] タブに戻り、[ ログ保存エリア ] の値をクリック
して、ファイアウォール ログ タイプ（システム、設
定、HIP マッチ、トラフィック、脅威、および WildFire）
ごとに目的のストレージ容量（ログ割り当て）を割り
当てます。
Panorama から外部の宛先にファイアウォール ログを
転送するためのサーバー プロファイルを作成した場
合、[コレクタ ログ転送] タブを選択し、目的の外部サー
ビスにサーバー プロファイルを割り当てます。各コレ
クタ グループで同じプロファイルを使用することも、
異なるプロファイルを使用することもできます。
次の手順は、デプロイ環境によって異なります。
• このコレクタ グループにすべてのログ コレクタを割り
当てた場合、ステップ 15 に進みます。
• 各コレクタ グループに 1 つのログ コレクタのみがある
場合、ステップ 14 を実行して、別のコレクタ グループ
を追加します。
Panorama 管理者ガイド
155
ログ収集デプロイ環境
ログ収集の管理
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 14 （各コレクタ グループに 1 つ プライマリ Panorama の Web インターフェイスを使用し
のログ コレクタがある場合の て、以下の手順を実行します。
み）セカンダリ Panorama のロ 1. [Panorama] > [コレクタ グループ] の順に選択し、[追
グ コレクタのコレクタ グルー
加] をクリックして、セカンダリ Panorama のコレクタ
プの設定を行います。
グループの [ 名前 ] を入力します。コレクタ グループ
を保存すると、その名前を変更できなくなります。
ステップ 15 変更をコミットします。
2.
ログ コレクタをモニターするように SNMP 管理ソフ
トウェアを設定した場合、[モニタリング] タブを選択
し、SNMP を設定します。
3.
[デバイス ログ転送] タブの [コレクタ グループのメン
バー] セクションで、セカンダリ Panorama のデフォル
トのログ コレクタを割り当てます。
4.
[デバイス ログ転送] タブの [転送の優先順位のログ] セ
クションで、「図 : コレクタ グループごとに 1 つのデ
フ ォ ル ト の ロ グ コ レ ク タ」の よ う に、セ カ ン ダ リ
Panorama のデフォルトのログ コレクタにログを転送
するファイアウォールを割り当てます。
5.
[ 全般 ] タブで、[ ログ保存エリア ] の値をクリックし
て、ファイアウォール ログ タイプ（システム、設定、
HIP マッチ、トラフィック、脅威、および WildFire）ご
とに目的のストレージ容量（ログ割り当て）を割り当
てます。
6.
Panorama から外部の宛先にファイアウォール ログを
転送するためのサーバー プロファイルを作成した場
合、[コレクタ ログ転送] タブを選択し、目的の外部サー
ビスにプロファイルを割り当てます。各コレクタ グ
ループで同じプロファイルを使用することも、異なる
プロファイルを使用することもできます。
7.
[OK] をクリックして、変更内容を保存します。
プライマリ Panorama の Web インターフェイスを使用し
て、以下の手順を実行します。
1. [コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
2.
[コミット] をクリックし、[コミット タイプ] で [コレ
クタ グループ] を選択して、追加したコレクタ グルー
プを選択し、[OK] をクリックします。
ステップ 16 セカンダリ Panorama がアクティ プライマリ Panorama の Web インターフェイスを使用し
ブになるように手動でフェイ て、以下の手順を実行します。
ル オーバーします。
1. [Panorama] > [高可用性] の順に選択します。
2.
156
[操作コマンド] セクションで、[ローカル Panorama を
サスペンド] をクリックします。
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
デフォルトのログ コレクタを使用する Panorama のデプロイ（続き）
ステップ 17 セカンダリ Panorama で、プライ セカンダリ Panorama の Web インターフェイスを使用し
マリ Panorama のローカル ログ て、以下の手順を実行します。
コレクタのネットワークを設 1. Panorama Web インターフェイスで、[Panorama] > [管
定します。
理対象コレクタ] の順に選択し、プライマリ Panorama の
ローカル ログ コレクタを選択します。
2.
[全般] タブで、[Panorama サーバー IP] フィールドに、セ
カンダリ Panorama の IP アドレスを入力し、[Panorama
サーバー IP 2] フィールドに、プライマリ Panorama の
IP アドレスを入力します。
3.
[管理] タブで、プライマリ Panorama の管理インターフェ
イスの値を使用して、以下のいずれかのフィールド
セットを入力します。
• IPv4 — [IP アドレス]、[ネットマスク]、および [デ
フォルト ゲートウェイ]
• IPv6 — [IPv6 アドレス/プレフィックス長] および
[デフォルト IPv6 ゲートウェイ]
前述のフィールドは必須です。
4.
[OK] をクリックして [コミット] をクリックし、[コミッ
ト タイプ] で [Panorama] を選択して、[OK] をクリッ
クします。HA 同期が完了するまで待ってから次に進
みます。
5.
[コミット] をクリックし、[コミット タイプ] で [コレク
タ グループ] を選択して、追加したコレクタ グループ
を選択し、[OK] をクリックします。
ステップ 18 プライマリ Panorama がアクティ セカンダリ Panorama の Web インターフェイスを使用し
ブになるように手動でフェイ て、以下の手順を実行します。
ルバックします。
1. [Panorama] > [高可用性] の順に選択します。
2.
Panorama 管理者ガイド
[操作コマンド] セクションで、[ローカル Panorama を
サスペンド] をクリックします。
157
ログ収集デプロイ環境
ログ収集の管理
ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデ
プロイ
以下 の 図は、一 元 的な ロ グ収 集 デプ ロ イ環 境 の Panorama を 示し て いま す。この 例 では、
Panorama 管理サーバーは、アクティブ / パッシブ高可用性（HA）用に設定された、2 つの
Panorama バーチャル アプライアンスで構成されています。ファイアウォールは、Panorama 管理
サーバー（その仮想ディスクまたは NFS データストア）にログを送信します。デフォルトで
は、プライマリおよびセカンダリ Panorama の両方でログを受信します。この設定は、Panorama
が最大で 10 個のファイアウォールを管理し、最大で 10,000 ログ / 秒を処理する VMware 仮想イ
ンフラストラクチャ内のファイアウォール管理に適しています。（デプロイ環境のオプション
の詳細は、「ログ収集デプロイ環境の計画」を参照してください）。
デフォルトの Panorama バーチャル アプライアンスには、すべてのデータ用に 1 つのディスク
パーティションがあります。このパーティションには、10.89 GB のログ ストレージが割り当て
られます。2 TB のディスク領域とは別に 40 GB が必要な場合、Panorama バーチャル アプライア
ンスへの仮想ディスクの追加を行います。2 TB を超えるディスク領域が必要な場合、NFS デー
タストアへの Panorama バーチャル アプライアンスのマウントを行います。
このデプロイ環境を実装した後で、管理対象ファイアウォール数が増加して 10 個を超えるよ
うになった場合、Panorama モードの M-100 アプライアンスを Panorama 管理サーバーとして
使用することをお勧めします。
ロギング率が増加して 10,000 ログ / 秒を超えるようになった場合、専用のログ コレクタ（ログ
コレクタ モードの M-100 アプライアンス）を追加することをお勧めします。
「専用のログ コレクタを使用する Panorama のデプロイ」には、Panorama バーチャル アプ
ライアンスまたは Panorama モードの M-100 アプライアンスによって管理される専用のログ
コレクタがあるデプロイ環境が記載されています。
図 : ローカル ログ収集を使用する Panorama バーチャル アプライアンス
158
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
ローカル ログ収集を使用する Panorama バーチャル アプライアンスをデプロイするには、以下
の手順を実行します。すでに実行した手順（初期セットアップなど）は省略します。
ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデプロイ
ステップ 1
ステップ 2
ステップ 3
各 Panorama バーチャル アプラ 1.
イアンスの初期セットアップ 2.
を実行します。
3.
Panorama 管理者ガイド
Panorama バーチャル アプライアンスの初期設定の実行。
（任意）Panorama バーチャル アプライアンスでのロ
グ ストレージ容量の拡張。
4.
Panorama の登録とライセンスのインストール。
5.
コンテンツ更新および、Panorama ソフトウェア更新の
インストール。
6.
Panorama での HA のセットアップ。
管 理 対 象 デ バ イ ス と し て の 1.
ファイアウォールの追加。こ
の手順は、ログを Panorama に
転送するすべてのファイア
ウォールで実行します。
2.
ファイアウォールをデバイス
グループとテンプレートに割
り 当 て ま す。こ の 手 順 は、
Panorama へのログ転送を有効
にするための前提条件です。
ESX(i) サーバーでの Panorama のインストール。
ログ コレクタに割り当てる各ファイアウォールの初期
セ ッ ト ア ッ プ を 実 行 し ま す（ま だ 行 っ て い な い 場
合）。詳細は、『PAN-OS 管理者ガイド』を参照して
ください。
Panorama Web インターフェイスで、[Panorama] > [管
理対象デバイス ] の順に選択し、[ 追加 ] をクリックし
て、各ファイアウォールのシリアル番号を 1 行ずつ入
力し、[OK] をクリックします。
Panorama Web インターフェイスを使用して、以下のタスク
を実行します。
1. デバイス グループの追加。
2.
テンプレートの追加。
159
ログ収集デプロイ環境
ログ収集の管理
ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデプロイ（続き）
ステップ 4
Panorama へのログ転送の設定。 Panorama Web インターフェイスを使用して、ログ転送を設
定します。具体的なタスクは、ログ タイプによって異な
ります。
• トラフィック ログ、脅威ログ、WildFire ログ:
a. 追加したデバイス グループを選択します。
b. [Objects] > [ ログ転送 ] の順に選択し、[ 追加 ] をク
リックします。
c. ログ転送プロファイルの [名前] を入力し、目的のロ
グ タイプの [Panorama] チェック ボックスをオン
にして、[OK] をクリックします。
d. ログ転送プロファイルを目的のルールに割り当てま
す。たとえば、[Policies] > [セキュリティ] の順に選
択し、ルールを選択します。次に、[アクション] タ
ブで、追加した [ ログ転送 ] プロファイルを選択し、
[OK] をクリックします。
• システム ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [システム] の順に選択し、重
大度レベルを選択します。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
• 設定ログ:
a. 追加したテンプレートを選択します。
b. [Device] > [ログ設定] > [設定] の順に選択し、編集ア
イコンをクリックします。
c. [Panorama] チェック ボックスをオンにして [OK] を
クリックします。
160
Panorama 管理者ガイド
ログ収集の管理
ログ収集デプロイ環境
ローカル ログ収集を使用する Panorama バーチャル アプライアンスのデプロイ（続き）
ステップ 5
（任意）Panorama から外部の宛 Panorama Web インターフェイスを使用して、以下の手順を
実行します。
先へのログ転送の有効化。
1. ログの転送先となる外部サービスに応じて、1 つ以上の
この手順は、Panorama バーチャ
サーバー プロファイルを作成します。
ル アプライアンスが生成する
• SNMP: [Panorama] > [サーバー プロファイル] >
ログ（システム ログおよび設
[SNMP トラップ]
定 ロ グ）と、フ ァ イ ア ウ ォ ー
ルが生成するログ（システム
• Syslog: [Panorama ] > [サーバー プロファイル] >
ログ、設定ログ、HIP マッチ ロ
[Syslog]
グ、トラフィック ログ、脅威
• 電子メール: [Panorama ] > [サーバー プロファイル] >
ログ、および / または WildFire
[電子メール]
ログ）に適用されます。
2. [Panorama] > [ ログ設定 ] の順に選択し、転送するロ
グのタイプ（[システム]、[設定]、[HIP マッチ]、[トラ
フィック ]、[ 脅威 ]、および / または [WildFire]）を選
択します。
3.
ステップ 6
設定したサーバー プロファイルを割り当てます。[シス
テム] および [脅威] ログの場合、目的の各重大度レベ
ルのプロファイルを割り当てます。[WildFire] ログの
場合、各判定（[安全 ] および /または [有害 ]）のプロ
ファイルを割り当てます。[ 設定 ]、[HIP マッチ ]、[ ト
ラフィック ] ログの場合、編集アイコンをクリックし
て、サーバー プロファイルを割り当てます。
（任意）ログ転 送と バッフ ァ Panorama Web インターフェイスを使用して、以下の手順を
のデフォルトの変更。
実行します。
1. [Panorama] > [セットアップ] > [管理] の順に選択し、
[ロギングおよびレポート設定] を編集します。
2.
必要に応じて、[ログのエクスポートとレポート] パラ
メータを定義します。
プライマリ Panorama でのみログを受信する場合、[ロー
カル ディスクへのアクティブ プライマリ ログのみ ]
チェック ボックスをオンにします。
[ デバイスから転送するバッファ済みログ ] オプ
ションを選択することをお勧めします。
ステップ 7
変更をコミットします。
Panorama 管理者ガイド
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択して、[OK] をクリックします。
161
ログ収集デプロイ環境
162
ログ収集の管理
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用すると、管理者は、管理対象デバイス（ファイアウォールとログ コレクタ）の
ライセンスとソフトウェア/コンテンツの更新を一元管理できます。ライセンスや更新のデプロ
イ時に、Panorama は Palo Alto Networks ライセンス サーバーまたは更新サーバーに接続し、要求
の正当性を確認してから、ライセンス/更新の取得および当該デバイスへのインストールを許可
します。この機能によって、デバイスごとに繰り返しタスクを実行する必要がなくなるため、
デプロイが容易になります。特に、インターネットに直接アクセスできない管理対象ファイア
ウォールや、ログ コレクタ モードの M-100 アプライアンス（Web インターフェイスをサポート
していない）を管理する場合に便利です。
サポート サブスクリプションは各ファイアウォールで直接アクティベーションする必要があり
ます。Panorama を使用してサポート サブスクリプションをデプロイすることはできません。
Panorama 側で のラ イ セン ス のア ク ティ ベ ーシ ョン や 更新 の イン ス トー ルに つ いて は、
「Panorama の登録とライセンスのインストール」および「コンテンツ更新および、Panorama
ソフトウェア更新のインストール」を参照してください。

Panorama、ログ コレクタ、およびファイアウォールのバージョン互換性

Panorama を使用したファイアウォールのライセンス管理

Panorama を使用したデバイスへの更新のデプロイ
Panorama 管理者ガイド
163
Panorama、ログ コレクタ、およびファイアウォールのバージョン互換性
ライセンスの管理と更新
Panorama、ログ コレクタ、およびファイアウォールの
バージョン互換性
Panorama 管理サーバーでは、管理対象ファイアウォールで実行されている PAN-OS と同じかそ
れ以降のバージョンの Panorama ソフトウェア バージョンを実行している必要があります。
Panorama では、まだサポートされている以前のバージョンの PAN-OS を実行しているファイア
ウォールも管理できます。アップグレードが必要な場合は、Panorama をアップグレードしてか
ら管理対象ファイアウォールをアップグレードします。
Panorama 6.1 では、PAN-OS 6.0.3 以前を実行しているファイアウォールに設定をプッシュで
きません。したがって、Panorama を 6.1 にアップグレードする場合は、同時にすべての管理
対象ファイアウォールを PAN-OS 6.0.4 以降にアップグレードしないと、デバイスに設定を
プッシュできません。
Panorama 管理サーバーとその専用ログ コレクタ（ログ コレクタ モードの M-100 アプライアン
ス）では、同じバージョンの Panorama ソフトウェアを実行することを強く推奨します。
PAN-OS v4.x を実行しているファイアウォールは、専用ログ コレクタ（ログ コレクタ モードの
M-100 アプライアンス）に割り当てることができないため、Panorama バーチャル アプライアン
スか、Panorama モードの M-100 アプライアンスにログを転送する必要があります。PAN-OS 5.x
以降を実行しているファイアウォールのみが専用のログ コレクタにログを送信できます。
Panorama と管理対象ファイアウォールおよびログ コレクタに同じバージョンのアプリケー
ションおよび脅威データベースをインストールすることをお勧めします。Panorama は、アプ
リケーションおよび脅威データベースを使用して、Panorama または管理対象デバイスから開
始されるレポートを処理するためのメタデータを取得します。ログ コレクタにこのデータベー
スがインストールされていない場合、レポートに必要な完全なデータセットが使用できず、不
完全または不正確な情報が表示される可能性があります。
164
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したファイアウォールのライセンス管理
Panorama を使用したファイアウォールのライセンス管理
以下の手順では、認証コードを使用して新しいライセンスを取得し、ライセンス キーを管理対
象ファイアウォールにプッシュする方法を説明します。また、インターネットに直接アクセス
できないファイアウォールのライセンス ステータスを手動で更新（リフレッシュ）する方法に
ついても説明します。インターネットに直接アクセスできるファイアウォールでは、ライセン
スの更新は自動的に行われます。
Panorama を使用して、ファイアウォールのサポート ライセンスをアクティベーションするこ
とはできません。これらのサポート ライセンスをアクティベーションするには、個々のファイ
アウォールにアクセスする必要があります。
Panorama 自体のライセンスをアクティベーションする方法については、「Panorama の登録
とライセンスのインストール」を参照してください。
Panorama を使用したファイアウォールのライセンス管理
• 新規ライセンスをアクティベーションし 1.
ます。
[Panorama] > [デバイスのデプロイ] > [ライセンス] の
順に選択して、[アクティベーション] をクリックしま
す。このオプションを使用すると、新しく購入したサ
ブスクリプション（脅威サブスクリプションなど）を
アクティベーションできます。
2.
管理対象ファイアウォールを検索するか、フィルタで
絞り込んで、[認証コード] 列に Palo Alto Networks から
提供されたデバイスの認証コードを入力します。
3.
[Activate（アクティベーション）] をクリックします。
Panorama 管理者ガイド
165
Panorama を使用したファイアウォールのライセンス管理
ライセンスの管理と更新
Panorama を使用したファイアウォールのライセンス管理（続き）
• ファイアウォールのライセンス状態を更 1.
新します。
[Panorama] > [デバイスのデプロイ] > [ライセンス] の
順に選択します。
タブの各エントリは、ライセンスがアクティブか非ア
クティブかを示します。また、アクティブなライセン
スの有効期限も表示されます。
2.
166
以前にファイアウォール上で直接、サポート サブスク
リプションの認証コードをアクティベーションした場
合は、[更新] をクリックして、リストから 1 つ以上の
ファイアウォールを選択します。Panorama がライセン
スを取得し、管理対象ファイアウォールにデプロイし
て、Panorama Web インターフェイスのライセンス状態
を更新します。
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
Panorama を使用したデバイスへの更新のデプロイ
Panorama を使用すると、ソフトウェアとコンテンツの更新を一部のファイアウォールまたは専
用ログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）に限定してデプロイしてか
ら、すべての管理対象デバイスに更新をインストールできます。Panorama で、コンテンツの定
期的な更新をスケジュール設定する場合は、インターネットに直接接続する必要があります。
ソフトウェアまたはコンテンツの更新をオンデマンドで（スケジュール設定なしで）デプロイ
する場合の手順は、Panorama がインターネットに接続可能かどうかによって異なります。

デバイス タイプ別のサポートされている更新

Panorama を使用したデバイスへのコンテンツ更新のスケジュール設定

ファイアウォール HA ペアへのソフトウェア更新のインストール

Panorama がインターネットに接続されている場合にデバイスに更新をデプロイする

Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする
Panorama と管理対象ファイアウォールの両方に更新が必要な場合は、まず Panorama をアッ
プグレード（「コンテンツ更新および、Panorama ソフトウェア更新のインストール」を参
照）してからファイアウォールをアップグレードします。
ファイアウォールを PAN-OS メンテナンス リリースにアップグレードする必要がある場合
で、そのメンテナンス リリースのベース リリースが現在インストールされているソフトウェ
アのベース リリースよりも新しい場合は、まず、ファイアウォールにそのベース リリースを
アップロード（インストールではない）してから、メンテナンス リリースのアップロードとイ
ンストールを実行します。たとえば、PAN-OS 5.012 から PAN-OS 6.0.3 にファイアウォール
をアップグレードする場合は、まず、PAN-OS 6.0.0 をファイアウォールにアップロードして
から、PAN-OS 6.0.3 のアップロードおよびインストールを実行します。
SSL VPN クライアントまたは GlobalProtect クライアント ソフトウェアをファイアウォールに
インストールしないでください。これらのソフトウェアはファイアウォールでアクティベー
ションして、ユーザーがクライアント システムにダウンロードできるようにしておきます。
GlobalProtect データ ファイルの更新をオンデマンドでデプロイすることはできません。この
更新はスケジュール設定（[Device] > [ダイナミック更新]）のみ可能です。スケジュール設
定は、テンプレートを使用して実行するか、ファイアウォールの Web インターフェイス経由
で直接実行します。
Panorama と管理対象ファイアウォールおよびログ コレクタに同じバージョンのアプリケー
ションおよび脅威データベースをインストールすることをお勧めします。Panorama は、アプ
リケーションおよび脅威データベースを使用して、Panorama または管理対象デバイスから開
始されるレポートを処理するためのメタデータを取得します。ログ コレクタにこのデータベー
スがインストールされていない場合、レポートに必要な完全なデータセットが使用できず、不
完全または不正確な情報が表示される可能性があります。
Panorama 管理者ガイド
167
Panorama を使用したデバイスへの更新のデプロイ
ライセンスの管理と更新
デバイス タイプ別のサポートされている更新
インストール可能なソフトウェアとコンテンツの更新は、各デバイスおよびデバイス タイプで
アクティブになっているサブスクリプションによって異なります。
デバイス
ソフトウェア更新
コンテンツ更新
専用のログ コレクタ
Panorama
アプリケーション シグネチャ
アンチウイルス シグネチャ
WildFire
ファイアウォール
PAN-OS
アプリケーション シグネチャ
SSL VPN クライアント
アプリケーションおよび脅威シグ
ネチャ
GlobalProtect クライアント
アンチウイルス シグネチャ
BrightCloud URL フィルタリング
WildFire
GlobalProtect データ ファイル
Panorama を使用したデバイスへのコンテンツ更新のスケジュール設定
ファイアウォールとログ コレクタにインストール可能なコンテンツ更新の一覧については、
「デバイス タイプ別のサポートされている更新」を参照してください。Panorama で更新をスケ
ジュール設定するには、インターネットに直接接続する必要があります。インターネットに直
接接続できない場合は、オンデマンドの更新のみを行うことができます（「Panorama がイン
ターネットに接続されていない場合にデバイスに更新をデプロイする」を参照）。PAN-OS
は、更新を受信するファイアウォールごとに、インストールの成功（設定ログ）または失敗
（システムログ）を示すログを生成します。
Panorama では、一度に 1 つの更新のみをダウンロードできます。複数の更新を同じ期間にダ
ウンロードするようにスケジュールすると、最初のダウンロードだけが成功します。したがっ
て、更新のスケジュール設定時間をずらすことをお勧めします。
Panorama バーチャル アプライアンスまたは Panorama モードの M-100 アプライアンスにコ
ンテンツ更新をインストールする方法については、「コンテンツ更新および、Panorama ソフ
トウェア更新のインストール」を参照してください。
168
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
スケジュール設定する更新タイプごとに、以下の手順を実行します。
Panorama を使用したデバイスへのコンテンツ更新のスケジュール設定
1.
[Panorama] > [デバイスのデプロイ] > [ダイナミック更新] の順に選択して、[スケジュール]、[追加]
の順にクリックします。
2.
スケジュールに分かりやすい [名前] を付け、更新の [タイプ] および頻度（[繰り返し]）を指定しま
す。指定可能な頻度は、更新の [タイプ] によって異なります。
• Wildfire: [15 分ごと]、[30 分ごと]、または [毎時間] を選択します。
• WF プライベート: [5 分ごと]、[15 分ごと]、[30 分ごと]、または [毎時間] を選択します。
• その他の更新タイプ:
– 毎日 — 更新が開始される [日時] を選択します。
– 毎週 — 更新が開始される [曜日] と[日時] を選択します。
PAN-OS は、スケジュールの更新に Panorama の時間帯を使用します。
WildFire プライベート（[WF プライベート ]）オプションは、[WildFire サーバー] フィールド
（[Panorama] > [セットアップ] > [WildFire]）が（WildFire Public Cloud ではなく）WF-500 Wildfire
アプライアンスに設定されている場合のみ使用可能です。
3.
スケジュール設定する [アクション] を指定します。
• ダウンロードおよびインストール（ベスト プラクティス）— [Devices]（ファイアウォールの場合）
または [ログ コレクタ] オプションを選択してから、更新が適用されるデバイスを選択します。
• ダウンロードのみ — 更新をダウンロードしますが、デバイスへのインストールは行いません。
4.
[OK] をクリックして [コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK]
をクリックします。
Panorama 管理者ガイド
169
Panorama を使用したデバイスへの更新のデプロイ
ライセンスの管理と更新
ファイアウォール HA ペアへのソフトウェア更新のインストール
高可用性（HA）設定のファイアウォール ピアにソフトウェア更新をインストールする際にダ
ウンタイムが発生しないようにするには、以下の手順に従って更新をインストールします。
PAN-OS では、メジャー リリース間のアップグレード（たとえば、6.0 から 6.1 など）であっ
ても、HA ピアのセッションが同期されます。
ファイアウォール HA ペアへのソフトウェア更新のインストール
ステップ 1
ソフトウェア更新をセカンダ Panorama にログインして、セカンダリ ファイアウォール
リ ファイアウォールにインス 上で以下のいずれかの手順を実行します。
トールします。
• Panorama がインターネットに接続されている場合にデバ
イスに更新をデプロイする
• Panorama がインターネットに接続されていない場合にデ
バイスに更新をデプロイする
どちらの手順を実行する場合も、[ソフトウェア ファ
イルのデプロイ ] ダイアログの [HA ピアのグループ
化] チェック ボックスをオフにする必要があります。
ステップ 2
プライマリ ファイアウォール上 1.
で手動によるフェイルオー
バーを起動して、プライマリ
側をパッシブに、セカンダリ 2.
側をアクティブにします。
プライマリ ファイアウォールにログインして、
[Device] > [高可用性] > [操作コマンド] の順に選択して、
[ローカルデバイスをサスペンド] をクリックします。
セカンダリ ファイアウォールにログインし、[ダッシュ
ボード] の [高可用性] ウィジットで、[ローカル] ファイア
ウォール状態が [アクティブ] で、[ピア] ファイアウォー
ルが [サスペンド] になっていることを確認します。
ステップ 3
ソフトウェア更新をプライマ プライマリ ファイアウォールで、ステップ 1 を繰り返し
リ ファイアウォールにインス ます。
トールします。
ステップ 4
プライマリ ファイアウォールを 1.
アクティブ状態に戻します。
プライマリ ファイアウォールにログインして、
[Device] > [高可用性] > [操作コマンド] の順に選択し
て、[ローカルデバイスを稼働状態にする] をクリック
します。
2.
2 分待ってからプライマリ ファイアウォールで [ダッシュ
ボード] の [高可用性] ウィジットに移動し、[ローカル]
ファイアウォール状態が [アクティブ] で、[ピア] ファ
イアウォールが [パッシブ] になっていることを確認し
ます。
170
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
Panorama がインターネットに接続されている場合にデバイスに更新をデ
プロイする
ファイアウォールおよび専用ログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）に
インストールできるソフトウェア更新とコンテンツ更新の一覧については、「デバイス タイプ
別のサポートされている更新」を参照してください。
Panorama と管理対象ファイアウォールの両方に更新が必要な場合は、まず Panorama をアッ
プグレード（「コンテンツ更新および、Panorama ソフトウェア更新のインストール」を参
照）してからファイアウォールをアップグレードします。
ファイアウォールを PAN-OS メンテナンス リリースにアップグレードする必要がある場合
で、そのメンテナンス リリースのベース リリースが現在インストールされているソフトウェ
アのベース リリースよりも新しい場合は、まず、ファイアウォールにそのベース リリースを
アップロード（インストールではない）してから、メンテナンス リリースのアップロードとイ
ンストールを実行します。たとえば、PAN-OS 5.012 から PAN-OS 6.0.3 にファイアウォール
をアップグレードする場合は、まず、PAN-OS 6.0.0 をファイアウォールにアップロードして
から、PAN-OS 6.0.3 のアップロードおよびインストールを実行します。
既存のスケジュールが開始されているか、5 分以内に開始されるようにスケジュールされてい
る場合に、スケジュール設定されていないコンテンツ更新を要求すると、警告が表示されま
す。詳細は、「Panorama を使用したデバイスへのコンテンツ更新のスケジュール設定」を参
照してください。
高可用性（HA）設定のファイアウォール ペアにソフトウェア更新をデプロイする場合は、
「ファイアウォール HA ペアへのソフトウェア更新のインストール」の説明に従って、ピアご
とに更新をインストールしてください。
Panorama がインターネットに接続されている場合にデバイスに更新をデプロイする
1.
目的のソフトウェアまたはコンテンツ更新のページにアクセスします。
• PAN-OS — [Panorama] > [デバイスのデプロイ] > [ソフトウェア] の順に選択します。
• SSL VPN クライアント — [Panorama] > [デバイスのデプロイ] > [SSL VPN クライアント] の順に
選択します。
• GlobalProtect クライアント — [Panorama] > [デバイスのデプロイ] > [GlobalProtect クライアント] の
順に選択します。
• コンテンツ — [Panorama] > [デバイスのデプロイ] > [ダイナミック更新] の順に選択します。
2.
Click Check Now [今すぐチェック] をクリックして最新の更新があるかどうか確認します。利用可能
な更新がある場合は、[ アクション ] 列に [ アップグレード ]（BrightCloud URL フィルタリングの場
合）または [ダウンロード]（その他すべてのコンテンツ カテゴリとソフトウェアの場合）と表示さ
れます。
Panorama 管理者ガイド
171
Panorama を使用したデバイスへの更新のデプロイ
ライセンスの管理と更新
Panorama がインターネットに接続されている場合にデバイスに更新をデプロイする（続き）
3.
[ バージョン ] 列および [ ファイル名 ] 列を確認して、デプロイする更新を決定します。
[ダイナミック更新] ページに、[アンチウイルス]、[アプリケーションおよび脅威]、[URL フィルタリ
ング]、[WildFire] の各カテゴリ別に、コンテンツ更新の一覧が表示されます。
[ ソフトウェア更新 ] ページに表示される更新パッケージのファイル名フォーマットは、ソフトウェ
アとデバイス タイプによって異なります。
• ハードウェア ベース ファイアウォールの PAN-OS — PanOS_< ハードウェア プラットフォーム >-< リ
リース >（例 : PAN-OS 6.1.0 を実行している PA-200 ファイアウォールの場合は、PanOS_200-6.1.0）。
• VM-Series ファイアウォールの PAN-OS — PanOS_vm-< リリース >（例 : PanOS_vm-6.1.0）。
• M-100 アプライアンス（ログ コレクタ）の Panorama ソフトウェア — Panorama_m-< リリース >
（例 : Panorama_m-6.1.0）。
• すべてのファイアウォールの SSL VPN クライアント — PanVPN-< リリース >（例 : PanVPN-1.3.4）。
• すべてのファイアウォールの GlobalProtect クライアント — PanGP-< リリース >（例 : PanGP-2.1.0）。
4.
目的の更新の [アクション] 列で、[アップグレード] または [ダウンロード] をクリックします。アッ
プグレードまたはダウンロードが正常に終了すると、[アップグレード]/[ダウンロード] が [インストー
ル]（コンテンツおよび Panorama または PAN-OS ソフトウェアの場合）または [アクティベーション]
（SSL VPN または GlobalProtect クライアントの場合）に変わります。
デフォルトでは、各タイプにつき最大 5 つのソフトウェア更新またはコンテンツ更新を
Panorama にダウンロードできます。この上限値を超えてダウンロードを実行すると、選択し
たタイプの最も古い更新が削除されます。上限値を変更する方法については、「ソフトウェ
ア更新とコンテンツ更新が格納される Panorama ストレージの管理」を参照してください。
5.
[インストール] または [アクティベーション] をクリックし、更新を適用するファイアウォールおよび
（または）ログ コレクタを選択します。
最初に、コンテンツ更新をインストールしてからソフトウェア更新をインストールします。
また、最初に、アプリケーションおよび脅威更新をインストールしてから、アンチウイルス
および WildFire 更新をインストールしてください。URL フィルタリング更新については、イ
ンストール順に制約はありません。
6.
（PAN-OS ソフトウェア更新のみ）高可用性設定のファイアウォールの場合、[HA ピアのグループ化]
チェック ボックスをオフにして、一度に 1 つの HA ピアをアップグレードするようにした上で、目
的に応じて以下のいずれかのチェック ボックスをオンにします。
• デバイスにアップロード（インストールは行わない）— 選択したファイルがベース リリース（た
とえば、6.0.0）用の場合で、直後にメンテナンス リリース（たとえば、6.0.3）をインストールす
るときは、このオプションをオンにして、メンテナンス リリースに必要なライブラリおよびディ
レクトリが作成されるようにします。
• インストール後にデバイスを再起動 — その他すべてのシナリオの場合は、このオプションをオン
します。インストールは、デバイスを再起動するまで完了しません。
7.
[OK] をクリックしてインストールまたはアップロードを開始します。インストール結果が画面に表
示されます。
8.
管理対象の各ファイアウォールで実行されているソフトウェア更新とコンテンツ更新のバージョン
を確認するには、[Panorama] > [管理対象デバイス] の順に選択して、（[デバイス名] 列で）ファイ
アウォールを特定し、[ソフトウェア バージョン] 列の値を確認します。
172
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
Panorama がインターネットに接続されている場合にデバイスに更新をデプロイする（続き）
9.
専用ログ コレクタで実行されているソフトウェア更新とコンテンツ更新を確認するには、M-100 ア
プライアンスで Panorama CLI へのログインを行い、show system info コマンドを入力します。出力
は以下のようになります。
sw-version: 6.1.0
app-version: 366-1738
app-release-date: 2014/10/29 15:46:03
av-version: 1168-1550
av-release-date: 2014/10/21 14:31:27
threat-version: 366-1738
threat-release-date: 2014/10/29 15:46:03
Panorama がインターネットに接続されていない場合にデバイスに更新を
デプロイする
ファイアウォールおよび専用ログ コレクタ（ログ コレクタ モードの M-100 アプライアンス）に
インストールできるソフトウェア更新とコンテンツ更新の一覧については、「デバイス タイプ
別のサポートされている更新」を参照してください。
Panorama と管理対象ファイアウォールの両方に更新が必要な場合は、まず Panorama をアッ
プグレード（「コンテンツ更新および、Panorama ソフトウェア更新のインストール」を参
照）してからファイアウォールをアップグレードします。
ファイアウォールを PAN-OS メンテナンス リリースにアップグレードする必要がある場合
で、そのメンテナンス リリースのベース リリースが現在インストールされているソフトウェ
アのベース リリースよりも新しい場合は、まず、ファイアウォールにそのベース リリースを
アップロード（インストールではない）してから、メンテナンス リリースのアップロードとイ
ンストールを実行します。たとえば、PAN-OS 5.012 から PAN-OS 6.0.3 にファイアウォール
をアップグレードする場合は、まず、PAN-OS 6.0.0 をファイアウォールにアップロードして
から、PAN-OS 6.0.3 のアップロードおよびインストールを実行します。
高可用性（HA）設定のファイアウォール ペアにソフトウェア更新をデプロイする場合は、
「ファイアウォール HA ペアへのソフトウェア更新のインストール」の説明に従って、ピアご
とに更新をインストールしてください。
Panorama 管理者ガイド
173
Panorama を使用したデバイスへの更新のデプロイ
ライセンスの管理と更新
Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする
ステップ 1
インターネットに接続されて 1.
いるホストにソフトウェア更
新またはコンテンツ更新をダ
ウ ン ロ ー ド し ま す。Panorama
がそのホストにアクセスでき 2.
る必要があります。
インターネットにアクセスできるホストで、Palo Alto サ
ポート Web サイト
（https://support.paloaltonetworks.com）に移動して、ロ
グインします。
[Resources] セクションで、[Software Updates] または
[Dynamic Updates]（コンテンツの場合）をクリック
します。
[Dynamic Updates] ページに、[アプリケーション]、[ア
プリケーションおよび脅威 ]、[ アンチウイルス ]、
[WildFire]、および [BrightCloud シード ファイル]（URL
フィルタリング）の各カテゴリ別に、コンテンツ更新
の一覧が表示されます。
[Software Updates] ページに表示される更新パッケー
ジのファイル名フォーマットは、ソフトウェアとデバ
イス タイプによって異なります。
• ハードウェア ベース ファイアウォールの PAN-OS —
PanOS_< ハードウェア プラットフォーム >-< リリー
ス >（例 : PAN-OS 6.1.0 を実行している PA-200 ファ
イアウォールの場合は、PanOS_200-6.1.0）。
• VM-Series ファイアウォールの PAN-OS —
PanOS_vm-< リリース >（例 : PanOS_vm-6.1.0）。
• M-100 アプライアンス（ログ コレクタ）の Panorama
ソフトウェア — Panorama_m-< リリース >（例 :
Panorama_m-6.1.0）。
• すべてのファイアウォールの SSL VPN クライアント —
PanVPN-< リリース >（例 : PanVPN-1.3.4）。
• すべてのファイアウォールの GlobalProtect クライア
ント — PanGP-< リリース >（例 : PanGP-2.1.0）。
3.
174
[Download] 列で、目的のソフトウェア更新またはコン
テンツ更新をクリックして、ファイルをホストに保存
します。
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする（続き）
ステップ 2
更新をアップロードします。
1.
デ フ ォ ル ト で は、各 タ
イプにつき最大 5 つのソ
フトウェア更新または
コ ン テ ン ツ 更 新 を
Panorama に ア ッ プ ロ ー
ド で き ま す。こ の 上 限
値を超えてアップロー
ド を 実 行 す る と、選 択
したタイプの最も古い
更 新 が 削 除 さ れ ま す。
上限値を変更する方法
に つ い て は、「ソ フ ト 2.
ウェア更新とコンテン
3.
ツ更新が格納される
Panorama ス ト レ ー ジ の
管 理」を 参 照 し て く だ
さい。
Panorama にログインして、目的の更新のページに移動
します。
• PAN-OS — [Panorama] > [デバイスのデプロイ] > [ソ
フトウェア] の順に選択します。
• SSL VPN クライアント — [Panorama] > [デバイスのデ
プロイ] > [SSL VPN クライアント] の順に選択します。
• GlobalProtect クライアント — [Panorama] > [デバイ
スのデプロイ] > [GlobalProtect クライアント] の順
に選択します。
• コンテンツ — [Panorama] > [デバイスのデプロイ] >
[ダイナミック更新] の順に選択します。
[アップロード] をクリックします。
（コンテンツ更新の場合のみ）コンテンツ更新の [タイ
プ] を選択します。
• アプリケーションおよび脅威
• アンチウイルス
• WildFire
• URL フィルタリング
Panorama 管理者ガイド
4.
ホストの更新[ファイル] へのパスを入力するか、[参照]
をクリックしてファイルを見つけ、[OK] をクリック
します。
5.
結果が [成功] になっていたら、[閉じる] をクリックし
ます。
175
Panorama を使用したデバイスへの更新のデプロイ
ライセンスの管理と更新
Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする（続き）
ステップ 3
更新をインストールします。
1.
最 初 に、コ ン テ ン ツ 更
新をインストールして
からソフトウェア更新
を イ ン ス ト ー ル し ま 2.
す。ま た、最 初 に、ア
プリケーションおよび
脅威更新をインストー
ル し て か ら、ア ン チ ウ
イルスおよび WildFire 更
新をインストールして
く だ さ い。URL フ ィ ル 3.
タリング更新について
は、イ ン ス ト ー ル 順 に
4.
制約はありません。
[ファイルからインストール]（Panorama/PAN-OS または
コンテンツの更新の場合）または [ファイルからアクティ
ベーション]（SSL VPN クライアントまたは GlobalProtect
クライアントの更新の場合）をクリックします。
（コンテンツ更新の場合のみ）コンテンツ更新の [タイ
プ] を選択します。
• アプリケーションおよび脅威
• アンチウイルス
• WildFire
• URL フィルタリング
[ファイル名] ドロップダウンで、先ほどアップロード
したファイルを選択します。
更新を適用するファイアウォールおよび（または）ロ
グ コレクタを選択します。
5.
高可用性設定のファイアウォールの場合、[HA ピアの
グループ化 ] チェック ボックスをオフにして、一度に
1 つの HA ピアをアップグレードするようにします。
6.
（PAN-OS ソフトウェア更新の場合のみ）目的に応じて、
次のいずれかのチェック ボックスをオンにします。
• デバイスにアップロード（インストールは行わな
い）— 選択したファイルがベース リリース（たと
えば、6.0.0）用の場合で、直後にメンテナンス リ
リース（たとえば、6.0.3）をインストールするとき
は、このオプションをオンにして、メンテナンス
リリースに必要なライブラリおよびディレクトリが
作成されるようにします。
• インストール後にデバイスを再起動 — その他すべて
のシナリオの場合は、このオプションをオンしま
す。インストールは、デバイスを再起動するまで完
了しません。
ステップ 4
176
7.
[OK] をクリックし、結果が [成功] になっていたら、[閉
じる] をクリックします。
各管理対象ファイアウォール 1.
で実行されているソフトウェ 2.
ア更新およびコンテンツ更新
のバージョンを確認します。
[Panorama] > [管理対象デバイス] の順に選択します。
[ デバイス名 ] 列でファイアウォールを特定し、[ ソフト
ウェア バージョン]、[アプリケーションおよび脅威]、
[ アンチウイルス ]、[URL フィルタリング ]、および
[GlobalProtect クライアント] の各値を確認します。
Panorama 管理者ガイド
ライセンスの管理と更新
Panorama を使用したデバイスへの更新のデプロイ
Panorama がインターネットに接続されていない場合にデバイスに更新をデプロイする（続き）
ステップ 5
各ログ コレクタで実行されてい M-100 アプライアンスの Panorama CLI にログインし
るソフトウェア更新およびコ （「Panorama CLI へのログイン」参照）、show system info
ンテンツ更新のバージョンを コマンドを入力します。出力は以下のようになります。
sw-version: 6.1.0
確認します。
app-version: 366-1738
app-release-date: 2014/10/29 15:46:03
av-version: 1168-1550
av-release-date: 2014/10/21 14:31:27
threat-version: 366-1738
threat-release-date: 2014/10/29 15:46:03
Panorama 管理者ガイド
177
Panorama を使用したデバイスへの更新のデプロイ
178
ライセンスの管理と更新
Panorama 管理者ガイド
ネットワーク アクティビティの
モニター
Panorama では、ネットワーク トラフィックを包括的にグラフィックで表示できます。Panorama
の可視化ツール（アプリケーション コマンド センター（ACC）、ログ、レポート生成機能）を
使用すると、すべてのネットワーク アクティビティを一元的に分析、調査およびレポートし
て、潜在的なセキュリティへの影響があるエリアを識別し、安全なアプリケーション有効化ポ
リシーに変換できます。
このセクションでは、以下のトピックについて説明します。

Panorama を使用した可視化

ユース ケース : Panorama を使用したアプリケーションのモニタリング

ユース ケース : Panorama を使用したインシデントに対する応答
Panorama 管理者ガイド
179
Panorama を使用した可視化
ネットワーク アクティビティのモニター
Panorama を使用した可視化
一元的なデプロイおよびファイアウォール設定機能に加えて、Panorama では、ネットワークを通
過するすべてのトラフィックをモニターしてレポートできます。レポート機能は、Panorama と
ファイアウォールでほとんど変わりませんが、Panorama には、すべての管理対象ファイア
ウォールの集約情報を一括管理画面で表示できるという利点があります。この集約ビューによ
り、ネットワーク全体のユーザー アクティビティ、トラフィック パターン、および潜在的な脅
威の傾向に関する実用的な情報を得られます。
Panorama のアプリケーション コマンド センター（ACC）、アプリケーション スコープ、ログ
ビューアー、標準およびカスタマイズ可能なレポート オプションを使用して、ネットワークを
通過するトラフィックの詳細をすばやく把握できます。この情報を表示できることで、現在の
ポリシーで十分な箇所と不十分な箇所を評価できます。次に、このデータを使用して、ネット
ワーク セキュリティ戦略を強化できます。たとえば、セキュリティ ルールを改善して、ネット
ワークのすべてのユーザーのコンプライアンスとアカウンタビリティを向上させることができ
ます。また、ネットワーク容量を管理して資産のリスクを最小限に抑えながら、ネットワーク
内のユーザーから求められるリッチ アプリケーションのニーズを満たすこともできます。
以下のトピックでは、Panorama のレポート機能の概要について説明します。また、いくつかの
ユース ケースを使用して、各自のネットワーク インフラストラクチャ内でこれらの機能をどの
ように使用するのかについても説明します。使用可能なレポートおよびチャートの一覧と、そ
れぞれの説明は、オンライン ヘルプを参照してください。

ACC およびアプリケーション スコープを使用したネットワークのモニタリング

ログ データの分析

レポートの生成、スケジュール設定、および電子メール送信
ACC およびアプリケーション スコープを使用したネットワークのモニタ
リング
ACC とアプリケーション スコープのどちらも、ネットワークを通過するトラフィックから記録
されたデータをモニターおよびレポートできます。
Panorama の ACC には、ネットワーク トラフィックのサマリーが表示されます。Panorama では、
ネットワーク上のすべての管理対象ファイアウォールから動的にデータをクエリして、ACC に
そのデータを表示できます。これにより、Palo Alto Networks 次世代ファイアウォールのネット
ワーク全体で、アプリケーション、ユーザー、およびコンテンツ アクティビティ（URL カテゴ
リ、脅威、データ フィルタリング、ファイル ブロッキング、GlobalProtect の HIP マッチ）ごと
にトラフィックをモニターできます。
180
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
Panorama を使用した可視化
アプリケーション スコープでは、ネットワーク上の予期しない動作または異常な動作を一目で
識別できます。これには、多数のチャートおよびレポート（サマリー レポート、変化モニ
ター、脅威モニター、脅威マップ、ネットワーク モニター、トラフィック マップ）が含まれて
おり、脅威やアプリケーション、またはフローの送信元や宛先によってトラフィック フローを
分析できます。また、セッション数、またはバイト数でソートすることもできます。
ACC およびアプリケーション スコープを使用することで、以下のような内容を把握できます。
ACC
[Monitor] > [ アプリケーション スコープ ]

ネットワーク上で使用されている上位のア
プリケーションは ? 高リスク アプリケー
ションの数は ? ネットワーク上の高リスク
アプリケーションの上位のユーザーは ?

アプリケーション使用率の傾向は ? 使用量
が増加した上位 5 つのアプリケーションは
? 使用量が減少した上位 5 つのアプリケー
ションは ?

過去 1 時間で閲覧された上位の URL カテ
ゴリは ?

先週または先月と比較して、今週はどのよ
うにユーザー アクティビティが変化した
のか ?

帯域幅を消費している上位のアプリケー
ションは ? 最も帯域幅を使用しているユー
ザー/ ホストは ?

ネットワーク帯域幅の大部分を占有してい
るユーザーやアプリケーションは ? 過去 30 日
でこの消費量がどのように変化したのか ?

どのようなコンテンツまたはファイルがブ
ロックされているのか ? このファイル ブ
ロッキング / データ フィルタリング ポリ
シーをトリガーしている特定のユーザーは
いるのか ?

2 つの固有の IP アドレス間で交換されたト
ラフィック量は ? 特定のユーザーによって
生成されたトラフィック量は ? 宛先サー
バーまたはクライアントの地理的な場所は ?

ネットワーク上の脅威は ? これらの受信ト
ラフィックおよび送信トラフィックの脅威
は地理的にどのように分布しているのか ?
Panorama 管理者ガイド
181
Panorama を使用した可視化
ネットワーク アクティビティのモニター
次に、この情報を使用して、ネットワーク上のトラフィック パターンを維持したり、変更を適
用したりできます。Panorama の可視化ツールがネットワークの利用規定の形成方法に与える影
響についての概要は、「ユース ケース : Panorama を使用したアプリケーションのモニタリング」
を参照してください。
以下に、ACC 内の移動に役立つヒントをいくつか示します。

Panorama ビューからデバイス ビューへの切り替え — Panorama では、[コンテキスト] メニュー
を使用して、管理対象ファイアウォールの Web インターフェイスにアクセスできます。コン
テキスト スイッチは、ファイアウォールに直接アクセスできるようにする切り替えスイッチ
で、ファイアウォール固有の設定（ファイアウォール固有のポリシーなど）を管理したり、
テンプレートから特定のファイアウォールにプッシュされたネットワーク設定をオーバーラ
イドしたりできます。

データ ソースの変更 — ACC のチャートの統計情報を表示するために使用されるデフォルトの
ソースは、Panorama のローカル データです。アプリケーション チャートに表示されるデー
タを除き、その他のすべてのチャートで Panorama へのログ転送を有効にする必要がありま
す。
Panorama のローカル データを使用することで、チャートのロード時間を短縮できます。ただ
し、データ ソースを [リモート デバイス データ] に変更することもできます。Panorama のロー
カル データではなく、リモート デバイス データを使用するように設定すると、Panorama は
すべての管理対象ファイアウォールをポーリングし、データの集約ビューを表示します。画
面には、ポーリング対象のファイアウォールの合計数や、クエリに応答したファイアウォー
ル数が表示されます。
182
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
Panorama を使用した可視化

表示するチャートの選択 — ACC には、アプリケーション、URL フィルタリング、脅威防御、
データ フィルタリング、および HIP マッチのエリアの多数のチャートが用意されていま
す。アプリケーション チャートと HIP マッチを除き、その他のすべてのチャートは、対応
する機能のライセンスがファイアウォールに供与されており、ログが有効になっている場合
にのみ表示されます。

期間およびソート データの微調整 — ACC のレポート期間は、過去 15 分、過去の時間、日、
週、月、またはカスタム定義された時間になります。セッション、バイト、または脅威で
データをソートでき、表示する項目数を 5 ～ 500 の範囲でフィルタリングできます。
ログ データの分析
Panorama の [Monitor] タブでは、ログ データにアクセスできます。これらのログは、管理対象
ファイアウォールによって処理されて Panorama に転送されたセッションのアーカイブ済みリス
トです。
ログ データは、大まかに 2 つのタイプに分類できます。1 つはネットワーク上のトラフィック
フローに関する詳細情報（アプリケーション、脅威、ホスト情報プロファイル、URL カテゴ
リ、コンテンツ/ファイル タイプなど）を含むログ データで、もう 1 つはシステム イベント、
設定の変更およびアラームを記録するログ データです。
管理対象ファイアウォールのログ転送設定に基づいて、[Monitor] > [ログ] タブに、トラフィッ
ク フロー、脅威、URL フィルタリング、データ フィルタリング、ホスト情報プロファイル
（HIP）マッチ、および WildFire 送信のログを含めることができます。ログを見直すことによっ
て、特定のセッションまたはトランザクションの豊富な情報を確認できます。この情報には、
たとえば、セッションを開始したユーザー、ファイアウォールがセッションで実行したアク
ション（許可または拒否）、送信元および宛先のポート、ゾーン、アドレスなどの情報が含ま
れています。システム ログおよび設定ログを見れば、設定の変更や、設定済みのしきい値を超
えたときにファイアウォールによってトリガーされたアラームが分かります。
レポートの生成、スケジュール設定、および電子メール送信
Panorama では、必要に応じて手動でレポートを生成することも、特定の間隔でレポートの実行
をスケジュール設定することもできます。レポートを保存またはエクスポートしたり、特定の
受信者にレポートを電子メールで送信するように Panorama を設定したりできます。電子メール
を使用してレポートを共有できる機能は、Panorama へのアクセス権のない管理者とレポート情
報を共有する場合に特に便利です。
Panorama とレポート生成対象のファイアウォールには、同じリリースのソフトウェアをイン
ストールしておくことをお勧めします。たとえば、Panorama 管理サーバーが Panorama 6.1
を稼働している場合は、その管理対象ファイアウォールに PAN-OS 6.1 をインストールしてか
らレポートを生成するようにします。このようにすることで、Panorama ソフトウェアのリ
リースではサポートされているが、ファイアウォールのそれより古いリリースの PAN-OS では
サポートされていないフィールドを含むレポートを作成したときに発生する可能性のある問題
を回避できます。
Panorama 管理者ガイド
183
Panorama を使用した可視化
ネットワーク アクティビティのモニター
以下のタイプのレポートを作成できます。
レポート タイプ
内容
事前定義済み
[Monitor] > [レポート] タブの事前定義済みレポートのセット。アプリケー
ション、トラフィック、脅威、および URL フィルタリングの 4 つのカテ
ゴリが用意されています。
ユーザー アクティビティ
ユーザー アクティビティ レポートは、オンデマンドでレポートを作成す
るために使用される事前定義済みレポートで、計算された推定ブラウズ時
間と共に、特定のユーザーの URL カテゴリごとに分類されたアプリケー
ションの使用および URL アクティビティを文書化します。このレポート
は、[Monitor] > [PDF レポート] > [ユーザー アクティビティ レポート] タブ
にあります。
カスタム
条件と含める列に基づいてフィルタリングすることで必要な情報のみを表
示 す る カ ス タ ム レ ポ ー ト を 作 成 お よ び ス ケ ジ ュ ー ル 設 定 し ま す。
Panorama やリモート デバイス（管理対象ファイアウォール）のサマリー
データベースからデータをクエリするレポートを生成できます。また、
Panorama やリモート デバイスの詳細レポートを使用することもできま
す。これらのレポートの生成に使用できるデータベースを確認するには、
[Monitor] > [ カスタム レポートの管理 ] タブを表示します。また、レポー
ト グループ（[Monitor] > [PDF レポート] > [レポート グループ] タブ）を
作成して、事前定義済みレポートやカスタム レポートを 1 つの PDF にま
とめることもできます。
PDF サマリー
最大 18 個の事前定義済みレポート、グラフ、カスタム レポートを 1 つの
PDF ドキュメントに集約できます。
184
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
Panorama を使用した可視化
レポートを作成およびスケジュール設定するには、以下の手順を実行します。
レポートの生成、スケジュール設定、および電子メール送信
ステップ 1
タイプに基づいてレポートを生成する手順は以下のとお
りです。
レポートを電子メールで
• カスタム レポートを作成します。
送信するためのレポート
a. [Monitor] > [ カスタム レポートの管理 ] の順に選択
グループをセットアップ
します。
する必要があります。
b. [追加] をクリックし、レポートの [名前] を入力し
ます。
c. レポートに使用するデータベース（[Panorama] ま
たは [ リモート デバイス データ ]）を選択します。
Panorama や管理対象ファイアウォールのサマリー
データベースまたは詳細ログを使用できます。
d. [スケジュール設定] チェック ボックスをオンにし
ます。
e. フィルタリング基準を定義します。[ 期間 ]、[ ソート
基準] の順序、[グループ化基準] の設定を選択し、レ
ポートに表示する列を選択します。
f. （任意）選択基準をさらに絞り込む場合、[クエリ ビ
ルダー] 属性を選択します。
g. レポート設定をテストするには、[今すぐ実行] を選
択します。必要に応じて設定を変更し、レポートに
表示する情報を変更します。
h. [OK] をクリックしてカスタム レポートを保存します。
• [PDF サマリー レポート] を実行します。
a. [Monitor] > [PDF レポート] > [PDF サマリーの管理]
の順に選択します。
b. [追加] をクリックし、レポートの [名前] を入力し
ます。
c. 各レポート グループのドロップダウン リストを使
用し、1 つ以上の要素を選択して、PDF サマリー レ
ポートを設計します。最大 18 個のレポート要素を
含めることができます。
d. [OK] をクリックして設定を保存します。
• [レポート グループ] を定義します。レポート グループに
は、事前定義済みレポート、PDF サマリー レポート、
およびカスタム レポートを含めることができます。
Panorama は、含まれているすべてのレポートを 1 つの
PDF に結合します。
a. [Monitor] > [PDF レポート] > [レポート グループ] の
順に選択します。
b. [ 追加 ] をクリックし、レポート グループの [ 名前 ]
を入力します。
c. （任意）[タイトル ページ] を選択して、PDF 出力の
[タイトル] を追加します。
d. [ 事前定義済みレポート ]、[PDF サマリー レポート ]
および [カスタム レポート] リストから選択し、[追
加 ] をクリックして、選択したレポートをレポート
グループに含めます。
e. [OK] をクリックして設定を保存します。
レポートを生成します。
Panorama 管理者ガイド
185
Panorama を使用した可視化
ネットワーク アクティビティのモニター
レポートの生成、スケジュール設定、および電子メール送信 （続き）
ステップ 2
レポートを電子メールで送信 1.
するように Panorama をセット
アップします。
2.
3.
[Panorama] > [サーバー プロファイル] > [電子メール ]
の順に選択します。
[追加] をクリックし、プロファイルの [名前] を入力し
ます。
[追加] をクリックして新しい電子メール サーバー エン
トリを追加し、SMTP（Simple Mail Transport Protocol）
サーバーに接続して電子メールを送信するために必要
な情報を入力します（プロファイルには電子メール
サーバーを 4 つまで追加できます）。
• サーバー — 電子メール サーバーを識別する名前
（1 ～ 31 文字）。このフィールドは単なるラベルで
あり、既存の SMTP サーバーのホスト名である必要
はありません。
• 電子メール表示名 — 電子メールの [ 送信者 IP] フィー
ルドに表示される名前。
• 送信者 — 電子メール通知の送信元の電子メール アド
レス。
• 宛先 — 電子メール通知の送信先の電子メール アド
レス。
• その他の受信者 — 通知を 2 番目のアカウントに送信
するには、ここに追加のアドレスを入力します。
• 電子メール ゲートウェイ — 電子メールの送信に使用
する SMTP ゲートウェイの IP アドレスまたはホス
ト名。
ステップ 3
ステップ 4
186
4.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
5.
[ コミット ] をクリックして [ コミット タイプ ] として
[Panorama] を選択し、実行中の設定に変更を保存し
ます。
レポートの電子メール配信を 1.
スケジュール設定します。
[Monitor] > [PDF レポート] > [電子メール スケジューラ]
を選択します。
2.
[ 追加 ] をクリックし、電子メール スケジューラ プロ
ファイルの [名前] を入力します。
3.
レポートの [ レポート グループ ]、[ 電子メール プロ
ファイル]、および [繰り返し] を選択します。
4.
電子メール設定が正しいことを確認するには、[テスト
電子メールの送信] を選択します。
5.
[OK] をクリックして、設定を保存します。
設定の変更を保存します。
[コミット] をクリックして [コミット タイプ] として
[Panorama] を選択し、実行中の設定に変更を保存します。
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
ユース ケース : Panorama を使用したアプリケーションのモニタリング
ユース ケース : Panorama を使用したアプリケーションの
モニタリング
この例のプロセスでは、現在のポリシーの効率性を評価し、ネットワークの利用規定を強化す
るためにポリシーを調整する必要のある箇所を決定します。
Panorama にログインすれば、[Dashboard] の [上位アプリケーション] ウィジットで、過去 1 時
間で最も使用されたアプリケーションのプレビューを表示できます。上位アプリケーションの
リストにざっと目を通し、各アプリケーション ブロックの上にマウスを置いて詳細を確認でき
ます。または、[ACC] タブに移動して、順番に並んでいるリストで同じ情報を確認することも
できます。以下の画像は、[Dashboard] の [上位アプリケーション] ウィジットのビューです。
このビューのデータ ソースは、アプリケーション統計データベースです。これには、トラ
フィック ログは使用されず、セキュリティ ルールでログを有効にしているかどうかに関係なく
生成されます。このビューには、ネットワークで許可され、定義したポリシー ルールでブロッ
クされずに通過するすべてのトラフィックが表示されます。
[データ ソース ] を選択して、Panorama のローカル データベースに切り替えることも、管理対象
ファイアウォールに問い合わせて（[ リモート デバイス データ ]）データを取得することもでき
ます。この情報は、Panorama によって自動的に集約されて表示されます。リモート デバイスか
らデータをロードする時間は、表示するデータの期間やネットワーク上で生成されるトラ
フィック量によって異なるため、フローを迅速化できるようにデータ ソースとして Panorama を
使用する（Panorama へのログ転送を有効にする）ことを検討してください。
上位アプリケーションのリストに戻ると、bittorrent がよく使用されていることがわかります。
ここで、bittorrent アプリケーションのリンクをクリックすると、[ACC] ビューの表示がフィル
タリングされて、アプリケーション、その動作、リスク レベル、および関連する URL 分類の詳
細情報が表示されます。
Panorama 管理者ガイド
187
ユース ケース : Panorama を使用したアプリケーションのモニタリング
ネットワーク アクティビティのモニター
[上位の送信元] テーブルには、BitTorrent を使用しているユーザー数や生成されるトラフィック量
も表示されます。User-ID を有効にしている場合、このトラフィックを生成しているユーザーの
名前を表示できます。これで送信元ユーザーをクリックしてドリルダウンし、そのユーザーの
すべてのアクティビティを確認できるようになります。
[ACC] ビューを使用して、特定の送信元アドレスまたはユーザーから生成された BitTorrent トラ
フィックにフィルタで絞り込むことにより、BitTorrent トラフィックの送信元および宛先の国、
このトラフィックを処理しているファイアウォール、入力ゾーンと出力ゾーン、この接続を通
過させているセキュリティ ルールを確認できます。
詳細は、フィルタリングしたビューのトラフィック ログをドリルダウンし、使用されたポー
ト、送信済みパケット、送信済みバイト、信済みバイトを各ログ エントリで確認してくださ
い。必要に応じて詳細または概要が表示されるように列を調整します。
188
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
ユース ケース : Panorama を使用したアプリケーションのモニタリング
[Monitor] > [アプリケーション スコープ] > [トラフィック マップ] タブにはトラフィック フローの
地理マップが表示され、受信トラフィックと送信トラフィックを対比したビューが得られます。
また、[Monitor] > [アプリケーション スコープ] > [変化モニター] タブを使用して、トラフィック
パターンの変化を表示することもできます。たとえば、この時間に使用された上位のアプリケー
ションを先週または先月と比較して、パターンや傾向があるかどうかを判断できます。
明らかになったすべての情報を使用して、ポリシー設定に行う変更を評価できます。以下に、
考慮すべき推奨事項を示します。

Panorama で制限的なプレ ルールを作成してすべての BitTorrent トラフィックをブロックしま
す。次に、Panorama デバイス グループを使用し、このポリシー ルールを作成して 1 つ以上
のファイアウォールにプッシュします。

帯域幅使用制限を適用して、非ビジネス トラフィックの優先順位を下げる QoS プロファイル
およびポリシーを作成します。次に、Panorama テンプレートを使用し、このポリシーを 1 つ以
上のファイアウォールにプッシュします。テンプレートを使用した QoS ポリシーの定義につ
いては、「Panorama テンプレート」の記事を参照してください。
Panorama 管理者ガイド
189
ユース ケース : Panorama を使用したアプリケーションのモニタリング
ネットワーク アクティビティのモニター

ネットワーク資産のリスクを軽減し、リスク ファクタ 4 または 5 のピアツーピア テクノロジで
あるファイル共有アプリケーションをすべてブロックするアプリケーション フィルタを作成
します。bittorrent アプリケーションがブロックされるようにアプリケーション フィルタに含
まれていることを確認します。

特定のユーザーのアクティビティやネットワーク上で使用された上位のアプリケーションの
アクティビティをまとめるカスタム レポート グループをスケジュール設定し、アクション
を実行する前にもう 1 週間またはもう 2 週間そのパターンを観察します。
特定のアプリケーションをチェックする以外に、上位アプリケーションのリストに不明なアプ
リケーションが入っていないかどうかもチェックします。これらは、定義された App-ID シグネ
チャに一致しなかったアプリケーションで、unknown-udp および unknown-tcp として表示されま
す。これらの不明なアプリケーションを詳しく調べるには、名前をクリックして未分類トラ
フィックの詳細にドリルダウンします。
同じプロセスを使用して、不明なトラフィックを開始したホストの送信元 IP アドレスの上位リ
ストと、セッションの確立先だった宛先ホストの IP アドレスを調査します。デフォルトでは、
不明なアプリケーションが検出されると、トラフィック ログが記録され、デフォルトでパケッ
ト キャプチャ（pcap）が行われます。左側の列の緑の矢印は、アプリケーション データのパ
ケット キャプチャ の目印です。緑の矢印をクリックすると、ブラウザに pcap が表示されます。
サーバーの IP アドレス（ログの宛先 IP）、宛先ポート、およびパケット キャプチャが分かっ
ていると、アプリケーションの識別や、ネットワーク上のアクションの実行方法の決定がしや
すくなります。たとえば、カスタム アプリケーションを作成して、不明な TCP または UDP ト
ラフィックとしてラベルを付ける代わりにこのトラフィックを識別することができます。不明
なアプリケーションの識別の詳細は、「不明なアプリケーション」の記事を参照してくださ
い。また、アプリケーションを識別するカスタム シグネチャの作成の詳細は、「カスタム アプ
リケーション シグネチャ」の記事を参照してください。
190
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
ユース ケース : Panorama を使用したインシデントに対する応答
ユース ケース : Panorama を使用したインシデントに対す
る応答
ネットワークの脅威は、ドライブ バイ ダウンロードによるマルウェアやスパイウェアの感染、
フィッシング攻撃、パッチを当てていないサーバー、ランダムまたは標的を定めたサービス拒
否（DoS）攻撃など、さまざまな経路から生じます。ネットワークの攻撃や感染に対応するに
は、攻撃について管理者にアラートを通知し、必要な調査の証拠を提供するプロセスやシステ
ムが求められます。この証拠を活用して、攻撃を開始するために使用された送信元やメソッド
を追跡できます。
Panorama の利点は、ネットワーク全体の管理対象ファイアウォールから収集されたパターンや
ログを一元的な統合ビューに表示できることにあります。相関攻撃情報は、単独で使用するこ
とも、セキュリティ情報イベント管理（SIEM）から生成されたレポートやログと併用すること
もできます。これにより、攻撃のトリガー方法や、今後の攻撃およびネットワークの損傷によ
る損失を防ぐ方法を調査できます。
このユース ケースにより、以下のことを確認できます。

インシデントの通知方法は ?

インシデントが誤検知でないことを裏付ける方法は ?

即座に実行するアクションは ?

トリガー イベントの前または後のイベント シーケンスを再構築するために利用可能な情報
をどのように使用するのか ?

ネットワークを保護するために考慮する必要のある変更は ?
このユース ケースでは、特定のインシデントを追跡し、Panorama の可視化ツールを使用してレ
ポートに答える方法を示します。

インシデントの通知

脅威ログの確認

WildFire ログの確認

データ フィルタリング ログの確認

セキュリティ ポリシーの更新
Panorama 管理者ガイド
191
ユース ケース : Panorama を使用したインシデントに対する応答
ネットワーク アクティビティのモニター
インシデントの通知
インシデントについてアラートを受け取る方法はいくつかありますが、Palo Alto Networks ファイ
アウォールの設定方法や、詳細な分析のために使用できるサードパーティ ツールによって異な
ります。Panorama または Syslog サーバーに記録されるログ エントリによってトリガーされた電
子メール通知を受信したり、SIEM ソリューションで生成される特殊なレポートで通知を受けた
り、サードパーティの有料サービスまたはエージェントで通知を付けたりできます。この例で
は、Panorama から電子メール通知を受信します。この電子メールにより、Zero Access gent.Gen
Command And Control Traffic がスパイウェア シグネチャとマッチしたことを示すアラートに
よってトリガーされたイベントが通知されます。また、この電子メールには、セッションの送
信元および宛先 IP アドレス、脅威 ID、イベントがログに記録されたときのタイムスタンプも
含まれます。
脅威ログの確認
アラートの調査を開始するには、脅威 ID を使用して、Panorama で脅威ログを検索します
（[Monitor] > [ログ] > [脅威]）。脅威ログから被害者の IP アドレスを検索して、パケット キャ
プチャ（PCAP、ログ エントリの緑の矢印アイコン）をエクスポートし、WireShark などのネッ
トワーク アナライザ ツールを使用して、パケットの詳細を確認できます。HTTP の場合、イン
シデントを検証するために、プロトコル、疑わしいホスト、URL 文字列、ユーザー エージェン
ト、IP アドレスおよびポートの異常な形式または偽の HTTP リファラを検索します。これらの
pcap のデータは、類似するデータ パターンの検索、カスタム シグネチャの作成、またはセキュ
リティ ポリシーの変更を行って、今後の脅威への対応を改善する場合にも役立ちます。
192
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
ユース ケース : Panorama を使用したインシデントに対する応答
この手動レビューの結果、シグネチャが信頼できるという確信がある場合、シグネチャをア
ラート アクションからブロック アクションに移行して、より積極的なアプローチを行うことを
検討してください。攻撃者の IP を IP ブロック リストに追加して、その IP アドレスからのトラ
フィックが今後内部ネットワークに到達しないようにすることを選択する場合もあります。
DNS ベースのスパイウェア シグネチャがある場合、ローカル DNS サーバーの IP アドレスが [被
害者 IP] アドレスとして表示される可能性があります。一般的にこの原因は、ファイアウォー
ルがローカル DNS サーバーの外部にあり、DNS クエリで、要求元のクライアントの IP アドレ
スが表示される代わりに、ローカル DNS サーバーが送信元 IP として表示されるためです。
この問題が発生した場合、ネットワーク上の感染したホストを識別するために、セキュリティ
ポリシーのアンチスパイウェア プロファイルの DNS シンクホール アクションを有効にしま
す。DNS シンクホールでは、有害ドメインへのアウトバウンド接続を制御し、DNS クエリを
未使用の内部 IP アドレス（応答を外に出さないシンクホール）にリダイレクトできます。侵
入されたホストが有害ドメインへの接続を開始すると、接続要求は、ファイアウォールによっ
て、ユーザーが定義した IP アドレスにリダイレクトされ、インターネットに送出されるので
はなく、シンクホールに封じ込められます。これで、シンクホールに接続されたすべてのホス
トのトラフィック ログを確認して、侵入されたすべてのホストを特定し、是正措置を講じて拡
散を防止できます。
インシデントの調査を続行するには、攻撃者と被害者の IP アドレスに関する情報を使用して、
以下のような詳細情報を確認します。

攻撃者の地理的な場所は ? IP アドレスは個別の IP アドレスと NAT された IP アドレスのどち
らか ?

イベントの発生原因（Web サイトに誘導されたユーザー、ダウンロード、電子メールで送信
された添付ファイル）は ?

マルウェアは伝搬されるのか? ネットワーク上に他に侵入されたホスト/エンドポイントは存
在するのか ?

ゼロデイの脆弱性か ?
各ログ エントリの [ ログ詳細 ]
には、イベントの [ 関連ログ ] が表示されます。この情報に
は、トラフィック、脅威、URL フィルタリングまたはその他のログが示されます。この情報を
確認して、インシデントの原因となったイベントと相関させることができます。たとえば、送
信元 IP および宛先 IP として IP アドレスを使用して、トラフィック ログ（[Monitor] > [ログ] >
[トラフィック]）をフィルタリングし、この被害者の IP アドレスで接続を確立するのに使用した
すべての外部および内部ホスト/クライアントの全体像を把握できます。
Panorama 管理者ガイド
193
ユース ケース : Panorama を使用したインシデントに対する応答
ネットワーク アクティビティのモニター
WildFire ログの確認
脅威ログの他に被害者の IP アドレスを使用して、[WildFire の送信] のログをフィルタリングし
ます。[WildFire の送信] のログには、分析のために Wildfire サービスにアップロードされたファ
イルに関する情報が含まれています。通常、スパイウェアは密かに組み込まれるため、被害者
が疑わしいファイルを最近ダウンロードしたかどうかを WildFire ログで確認します。WildFire の
調査レポートには、ファイルまたは .exe の取得元 URL やコンテンツの動作に関する情報が表示
されます。これにより、ファイルが有害かどうか、レジストリ キーを変更したかどうか、ファ
イルの読み取り/書き込みを行ったかどうか、新しいファイルを作成したかどうか、ネットワー
ク接続チャネルを開いたのかどうか、アプリケーションのクラッシュを引き起こしたかどう
か、プロセスを生成したかどうか、ファイルをダウンロードしたかどうか、他の有害な動作が
示されているかどうかがわかります。この情報を使用して、感染を引き起こしたアプリケー
ション（web-browsing、SMTP、FTP）をブロックするかどうかを判断し、より厳格な URL フィ
ルタリング ポリシーを作成して、一部のアプリケーション / アクション（ファイルのダウン
ロードなど）を特定のユーザー グループに限定します。
Panorama から WildFire ログにアクセスするには、WildFire サブスクリプション、セキュリ
ティ ポリシーに添付されたファイル ブロッキング プロファイル、および Panorama に転送さ
れる脅威ログが必要です。
WildFire でファイルが有害であると判断された場合、新しいアンチウイルス シグネチャが 24 ～
48 時間以内に作成され、使用できるようになります。WildFire サブスクリプションがある場
合、次の WildFire シグネチャの更新の一部としてシグネチャが 30 ～ 60 分以内に使用できるよう
になります。マルウェアをブロックするように設定されていれば、Palo Alto Networks 次世代
ファイアウォールでシグネチャを受信するとすぐに、ファイルがブロックされて、ブロックさ
れたファイルに関する情報が脅威ログに表示されます。この脅威から保護して、ネットワーク
上にマルウェアが拡散することを防止するために、このプロセスは緊密に統合されています。
194
Panorama 管理者ガイド
ネットワーク アクティビティのモニター
ユース ケース : Panorama を使用したインシデントに対する応答
データ フィルタリング ログの確認
データ フィルタリング ログ（[Monitor] > [ ログ ] > [ データ フィルタリング ]）も有害なネット
ワーク アクティビティを調査するための重要なソースです。アラートが通知されるすべての
ファイルのログを定期的に確認できますが、ログを使用して、被害者の IP アドレスまたはユー
ザーからの（への）ファイルやデータの転送を追跡したり、トラフィックの方向やフロー
（サーバーからクライアントまたはクライアントからサーバー）を確認したりすることもでき
ます。イベントの前または後のイベントを再作成するには、宛先となる被害者の IP アドレスの
ログをフィルタリングし、ネットワーク アクティビティのログを確認します。
Panorama では、すべての管理対象ファイアウォールから情報が集約されるため、ネットワーク
内のすべてのアクティビティの有益な概要を得られます。ネットワーク上のトラフィックを調
査するために使用できるその他の可視化ツールには、[ 脅威マップ ]、[ トラフィック マップ ]、お
よび [脅威モニター] などがあります。脅威マップやトラフィック マップ（[Monitor] > [アプリ
ケーション スコープ] > [脅威マップ] または [トラフィック マップ]）では、受信トラフィックお
よび送信トラフィックの地理的な地域を可視化できます。これは、外部からの潜在的な攻撃
（DDoS 攻撃など）を示す可能性のある異常なアクティビティを表示する場合に特に役立ちま
す。たとえば、東ヨーロッパのビジネス トランザクションは多くないのに、マップでその地域
へのトラフィックが異常なレベルを示している場合、マップの対応するエリアをクリックし
て、上位アプリケーション、セッション数に関するトラフィックの詳細、送受信バイト数、上
位の送信元および宛先、ユーザーまたは IP アドレス、検出された脅威（存在する場合）の重大
度に関する ACC 情報を起動して表示します。脅威モニター（[Monitor] > [アプリケーション スコー
プ] > [脅威モニター]）には、ネットワーク上の上位 10 個の脅威やネットワーク上の上位の攻撃
者または上位の被害者のリストが表示されます。
Panorama 管理者ガイド
195
ユース ケース : Panorama を使用したインシデントに対する応答
ネットワーク アクティビティのモニター
セキュリティ ポリシーの更新
明らかになったすべての情報を使用して、ネットワークに対する脅威の影響（攻撃の規模、送
信元、侵入されたホスト、リスク ファクタ）を把握し、実施する変更（存在する場合）を評価
できます。以下に、考慮すべき推奨事項を示します。

DOS プロファイルを強化して、ランダム早期ドロップを設定したり、TCP フラッドの SYN
Cookie を破棄したりして、DDoS 攻撃を未然に防ぎます。ICMP および UDP トラフィックを
制限することを検討してください。ログで発見した傾向およびパターンに基づいて、使用で
きるオプションを評価し、Panorama テンプレートを使用して変更を実装します。
ダイナミック ブロック リスト（[Objects] > [ダイナミック ブロック リスト]）を作成して、複
数の情報源（独自の脅威ログの分析、特定の IP アドレスからの DDOS 攻撃、またはサード
パーティの IP ブロック リスト）で明らかになった特定の IP アドレスをブロックします。
リストは、テキスト ファイルで、Web サーバー上に置かれている必要があります。Panorama
のデバイス グループを使用して、オブジェクトを管理対象ファイアウォールにプッシュし、
ファイアウォールが Web サーバーにアクセスして、定義した頻度でリストをインポートでき
るようにします。ダイナミック ブロック リストを作成したら、送信元および宛先フィール
ドのアドレス オブジェクトを使用して、定義した IP アドレス、範囲、またはサブネットか
らの（への）トラフィックをブロックするセキュリティ ポリシーを定義します。このアプ
ローチでは、問題を解決してポリシーのより大きな変更を行ってネットワークを保護するま
で侵入者をブロックできます。

共有ポリシーまたはデバイス グループ ポリシーを作成して、感染を引き起こした特定のア
プリケーション（web-browsing、SMTP、FTP）をブロックするかどうかを判断し、より厳格
な URL フィルタリング ポリシーを作成して、一部のアプリケーション / アクション（ファイ
ルのダウンロードなど）を特定のユーザー グループに限定します。

Panorama では、デバイス コンテキストに切り替えて、ネットワーク上でボットネットに感染
している可能性のあるホストを特定するボットネット レポートを得られるよう、ファイア
ウォールを設定する事ができます。
196
Panorama 管理者ガイド
Panorama の高可用性
Panorama の高可用性（HA）は、システム障害またはネットワーク障害が発生した場合に、グ
ループ（2 つのデバイス クラスタ）に配置された 2 つの Panorama サーバーで冗長性を提供する
設定です。HA の Panorama では、ファイアウォールを中央管理しモニターするタスクが続行
し、ネットワークのセキュリティが確保されます。

Panorama HA の前提条件

HA 設定の Panorama での優先度とフェイルオーバー

フェイルオーバーのトリガー

Panorama HA でのロギングに関する考慮事項

Panorama HA ピア間の同期

Panorama HA ペアの管理
Panorama 管理者ガイド
197
Panorama HA の前提条件
Panorama の高可用性
Panorama HA の前提条件
HA の Panorama を設定するには、以下の要件を満たす同一の Panorama サーバーのペアが必要です。

同じフォーム ファクタ — 両方がハードウェアベース アプライアンス（M-100 アプライアンス）
またはバーチャル アプライアンスである必要があります。HA では、M-100 アプライアンス
は Panorama モードである必要があります。ログ コレクタ モードの M-100 アプライアンスで
は、HA はサポートされません。

同じ Panorama OS バージョン — 設定情報を同期し、等価性を保持してシームレスなフェイル
オーバーを行うには、同じバージョンの Panorama で実行している必要があります。

同じライセンス セット — Panorama ごとに、同じデバイス管理容量のライセンスを購入して、
インストールする必要があります。

（Panorama バーチャル アプライアンスのみ）一意のシリアル番号 — Panorama バーチャル ア
プライアンスごとに一意のシリアル番号が必要です。シリアル番号が重複していると、問題
が解決されるまで Panorama の両方のインスタンスがサスペンド モードになります。
HA 設定の Panorama サーバーはピアであり、一部の例外を除き、デバイスの中央管理にどちら
のピア（active-primary または passive-secondary）も使用できます（「Panorama HA ピア間の同期」
を参照）。HA ピアでは、管理対象デバイスにプッシュされる設定要素を同期し、状態に関す
る情報を管理するために、管理ポートが使用されます。通常、Panorama HA ピアは、地理的に
異なるサイトに配置されているため、各ピアに割り当てられる管理ポートの IP アドレスがネッ
トワークを経由できることを確認する必要があります。HA 接続では、暗号化が有効になって
いる状態で TCP ポート 28 が使用されます。暗号化が有効になっていない場合、HA 接続および
HA ピア間の設定の同期にポート 28769 および 28260 が使用されます。ピア間の最大遅延は 50 ミ
リ秒です。遅延を確認するには、通常トラフィックの期間中に Ping を使用します。
198
Panorama 管理者ガイド
Panorama の高可用性
HA 設定の Panorama での優先度とフェイルオーバー
HA 設定の Panorama での優先度とフェイルオーバー
HA ペアの各 Panorama ピアには、優先度の値が割り当てられます。優先度の値がプライマリま
たはセカンダリのどちらであるかによって、管理およびログ管理のメイン ポイントとなる
Panorama ピアが決まります。プライマリとして設定されたピアはアクティブ状態となり、セカ
ンダリ ピアはパッシブになります。アクティブ ピアは、設定のすべての変更を処理して管理対
象ファイアウォールにプッシュします。パッシブ ピアは、設定を変更できず、管理対象ファイ
アウォールに設定をプッシュすることもできません。ただし、レポートまたはログ クエリの実
行には、どちらのピアも使用できます。
アクティブ デバイスのパス、リンク、システム、またはネットワークで障害が発生した場合
は、パッシブ ピアが同期され、いつでもアクティブ状態に移行できるよう維持されます。
フェイルオーバーが発生すると、デバイスの状態（アクティブまたはパッシブ）のみが変更
し、優先度（プライマリまたはセカンダリ）は変更しません。たとえば、プライマリ ピアで障
害が発生すると、状態が active-primary から passive- primary に変わります。
以下の 2 つの例外を除き、すべての機能は active-secondary 状態のピアで実行できます。

ライセンスの更新や管理対象ファイアウォールでのソフトウェアのアップグレードなど、デ
バイスの導入機能は管理できません。

優先度を手動でプライマリに変更するまでは、NFS にロギングできません（Panorama バーチャ
ル アプライアンスのみ）。
Panorama 管理者ガイド
199
HA 設定の Panorama での優先度とフェイルオーバー
Panorama の高可用性
以下の表に、状態と優先度設定に基づく Panorama の機能の一覧を示します。
詳細は、「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく
ださい。
200
Panorama 管理者ガイド
Panorama の高可用性
フェイルオーバーのトリガー
フェイルオーバーのトリガー
アクティブ デバイスで障害が発生すると、パッシブ デバイスがファイアウォールの管理タスク
を引き継ぎますが、このイベントをフェイルオーバーと呼びます。アクティブ デバイスのモニ
ター対象メトリックに障害が発生すると、フェイルオーバーがトリガーされます。この障害に
より、プライマリ Panorama の状態が active-primary から passive-primary に変わり、セカンダリ
Panorama が active-secondary になります。
フェイルオーバーがトリガーされる条件は、次のとおりです。

Panorama ピア間で通信できず、アクティブ ピアがヘルス ポーリングおよび状態ポーリングに応
答しない。使用されるメトリックは HA ハートビート ポーリングおよび Hello メッセージです。
Panorama ピア間で通信できない場合は、フェイルオーバーがトリガーされる前に、デバイス
がアクティブ ピアにまだ接続されているかどうかがモニターされます。このチェックは、
フェイルオーバーを回避して両方の Panorama ピアがアクティブ状態になるスプリット ブレ
イン現象を防止するのに役立ちます。

アクティブ ピアで指定された 1 つ以上の宛先（IP アドレス）に到達できない。使用されるメ
トリックは HA パス モニタリングです。
上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスをサスペンド状態にした
場合、またはプリエンプションが発生した場合も、フェイルオーバーがトリガーされます。プ
リエンプションは、障害（またはユーザーが開始したサスペンド）から回復した後でアクティ
ブな動作を再開するための、プライマリ Panorama の設定です。デフォルトではプリエンプショ
ンが有効になっており、プライマリ Panorama が障害から回復して使用可能になると、セカンダ
リ Panorama は制御を放棄し、パッシブ状態に戻ります。プリエンプションが発生すると、その
イベントがシステム ログに記録されます。
NFS データストアにロギングしている場合は、（NFS にマウントされた）プライマリ ピアでア
クティブ ロールが再開し、NFS データストアへの書き込みが許可されるため、プリエンプショ
ンを無効にしないでください。他のすべての導入では、特定のデバイスを確実に優先アクティ
ブ デバイスにする場合のみ、プリエンプションが必要です。
HA ハートビート ポーリングおよび Hello メッセージ
HA ピアでは、Hello メッセージおよびハートビートを使用して、ピアの応答状態と動作状態を
確認します。設定した「Hello 間隔」で Hello メッセージがピアの一方から他方へ送信され、他
方の状態を確認します。ハートビートは HA ピアに対する ICMP ping で、ピアがこの ping に応答
することによって、デバイスの接続および応答状態が確立します。デフォルトのハートビート
間隔は 1000 ミリ秒、Hello メッセージ間隔は 8000 ミリ秒です。
Panorama 管理者ガイド
201
フェイルオーバーのトリガー
Panorama の高可用性
HA パス モニタリング
パス モニタリングでは、指定された IP アドレスのネットワーク接続とリンク状態がチェックさ
れます。アクティブ ピアでは、ICMP ping を使用して、1 つ以上の宛先 IP アドレスに到達でき
ることが確認されます。たとえば、ルーターまたはスイッチなどの相互接続されたネットワー
ク デバイスの可用性、サーバーへの接続状態、またはトラフィック フロー中に存在する他のい
くつかの主要デバイスへの接続状態をモニタリングできます。モニタリング中のノード/デバイ
スが応答していない可能性がある場合、特に負荷がある場合は、パス モニタリング障害の原因
となり、フェイルオーバーがトリガーされるため、このような状態でないことを確認します。
デフォルトの ping 間隔は 5000 ミリ秒です。3 回（デフォルト値）連続して ping に失敗すると、
その IP アドレスに到達不可能とみなされ、モニターする IP アドレスの一部またはすべてに到
達不可能となった場合は、デバイス障害がトリガーされます。デフォルトでは、いずれかの IP
アドレスが到達不可能になると、HA 状態が non-functional に変わります。
202
Panorama 管理者ガイド
Panorama の高可用性
Panorama HA でのロギングに関する考慮事項
Panorama HA でのロギングに関する考慮事項
HA 設定での Panorama のセットアップでは、ログ収集の冗長性が提供されます。管理対象デバ
イスは SSL 経由で両方の Panorama ピアに接続されるため、状態が変化すると、各 Panorama から
管理対象デバイスにメッセージが送信されます。Panorama HA 状態がデバイスに通知され、ロ
グを適宜転送できます。
デフォルトでは、管理対象デバイスが Panorama（M-100 アプライアンスおよび Panorama
バーチャル アプライアンス）に接続できない場合にログがバッファされ、接続が復元される
と、最後に残された場所から送信が再開されます。
ロギング オプションは、ハードウェアベースの Panorama と Panorama バーチャル アプライアン
スとで異なります。

Panorama バーチャル アプライアンスでのロギングのフェイルオーバー

M-100 アプライアンスでのロギングのフェイルオーバー
Panorama バーチャル アプライアンスでのロギングのフェイルオーバー
Panorama バーチャル アプライアンスには、以下のログ フェイルオーバー オプションがあります。
ログ保存エリア タイプ
内容
仮想ディスク
デフォルトでは、管理対象デバイスから各 Panorama HA ピアに独立したログ
ストリームとしてログが送信されます。ピアが使用不可能になると、デフォ
ルトにより、管理対象デバイスでログがバッファされ、ピアが再接続された
時点で、中断した時点からログ送信が再開されます（再開時点はディスク ス
トレージ容量および切断期間に左右されます）。
仮想ディスクへのロギングによって、ログの冗長性を実現できます。ただ
し、ログ保存エリアの最大容量は 2 TB です。
アクティブ ピアにのみログを転送するオプションも設定可能です
（「ロ グ 転 送 と バ ッ フ ァ の デ フ ォ ル ト の 変 更」を 参 照）。た だ し、
Panorama では HA ペアにまたがったログの集約はサポートされていませ
ん。このため、モニタリングまたはレポート作成用に仮想ディスクまた
はローカル ディスクにロギングしている場合は、管理対象デバイスか
らログを収集している Panorama ピアに対してクエリを実行する必要が
あります。
ネットワーク ファイル共有 NFS を使用するように設定した場合は、active-primary デバイスのみが NFS ベー
（NFS）
スのログ パーティションにマウントされ、ログを受信できます。フェイル
オーバー時には、プライマリ デバイスが passive-primary 状態になります。この
場合、プリエンプションが行われるまで、active-secondary の Panorama でデバイ
スが管理されますが、ログは受信せず、NFS に書き込むこともできません。
active-secondary ピアから NFS へのログを許可するには、そのピアを手動でプラ
イマリに切り替え、NFS パーティションにマウントできるようにする必要が
あります。手順は、「Panorama のフェイルオーバーにより NFS ロギングが再
開された後の優先度の切り替え」を参照してください。
Panorama 管理者ガイド
203
Panorama HA でのロギングに関する考慮事項
Panorama の高可用性
M-100 アプライアンスでのロギングのフェイルオーバー
M-100 アプライアンスのペア（Panorama モードであることが必要）を使用している場合、アク
ティブまたはパッシブに関係なく、管理対象デバイスからログを送信できるのは HA ペアの
1 つのピアのみです。仮想 Panorama 導入と異なり、両方のピアにログを送信するようにデバイ
スを設定することはできません。ただし、M-100 アプライアンスのディスクで RAID を有効にす
ると、ディスク障害およびログの損失に対する保護になります。
管理対象デバイスから専用ログ コレクタにログを送信する分散ログ収集を設定した場合、HA
の Panorama ピアは、すべての管理対象ログ コレクタに対してクエリを発行し、ログ情報を収集
します。
詳細は、「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく
ださい。
204
Panorama 管理者ガイド
Panorama の高可用性
Panorama HA ピア間の同期
Panorama HA ピア間の同期
Panorama HA ピアでは、アクティブな Panorama ピアの変更をコミットするたびに、実行中の設
定が同期されます。候補設定は、アクティブ ピアで設定を保存するたび、またはフェイルオー
バーが発生する直前にピア間で同期されます。
共有オブジェクトおよびポリシー、デバイス グループのオブジェクトおよびポリシー、テンプ
レート設定、管理アクセス設定など、ペア全体に共通する設定は、Panorama HA ピア間で同期
されます。
以下のような各ピアに固有の設定は、同期されません。

Panorama HA 設定 — 優先度の設定、ピア IP アドレス、パス モニタリングのグループおよび
IP アドレス

Panorama 設定 — 管理ポートの IP アドレス、FQDN 設定、ログイン バナー、NTP サーバー、
タイム ゾーン、地理的な位置、DNS サーバー、Panorama にアクセスするためのアクセス許
可 IP アドレス、SNMP システム設定

スケジュール設定された設定のエクスポート

ロギング用の NFS パーティション設定およびすべてのディスク割り当て

Panorama ローカル ストレージ（SSD）でのタイプが異なるログおよびデータベースのディスク
割り当て
Panorama で秘密鍵と証明書の暗号化にマスター キーを使用する場合は、両方の HA ピアで、
同じマスター キーを使用する必要があります。マスター キーが異なると、HA ピア間の同期が
行われません。
詳細は、「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく
ださい。
Panorama 管理者ガイド
205
Panorama HA ペアの管理
Panorama の高可用性
Panorama HA ペアの管理

Panorama での HA のセットアップ

Panorama HA フェイルオーバーのテスト

Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の切り替え

HA 構成の Panorama のアップグレード

プライマリ Panorama のアクティブ状態への復元
Panorama での HA のセットアップ
Panorama HA の前提条件を確認してから、以下の手順を実行します。
Panorama での HA のセットアップ
ステップ 1
HA ピアで MGT ポート間の接 Panorama ピア間の通信には、MGT ポートが使用されま
続をセットアップします。
す。HA ペアの Panorama サーバーの MGT ポートに割り当
てる IP アドレスがルーティング可能であり、Panorama ピ
ア間の通信をネットワーク経由で行えることを確認しま
す。MGT ポートを設定するには、「Panorama のセット
アップ」を参照してください。
ペアのうちどちらかのデバイスを選択して、以下のタス
クを完了します。
206
Panorama 管理者ガイド
Panorama の高可用性
Panorama HA ペアの管理
Panorama での HA のセットアップ（続き）
ステップ 2
HA を有効化し、必要に応じて 1.
HA 接続の暗号化を有効にし
ます。
2.
[Panorama] > [ 高可用性 ] を選択し、[ セットアップ ]
セクションを編集します。
3.
[ピア HA IP アドレス] フィールドに、ピア デバイスに
割り当てられた IP アドレスを入力します。
4.
[ホールド タイムのモニター] フィールドに、制御リン
ク障害に反応するまでにシステムが待機する時間（ミ
リ 秒）を 入力し ます（有 効範囲 は 1000 ～ 60000、デ
フォルトは 3000）。
5.
暗号化を行わない場合は、[暗号化を有効] チェック ボッ
クスをオフにして、[OK] をクリックします。それ以
上の操作は不要です。暗号化を行う場合は、[暗号化を
有効] チェック ボックスをオンにして、[OK] をクリッ
クし、以下のタスクを実行します。
[HA の有効化] を選択します。
a. [Panorama] > [証明書の管理] > [証明書] の順に選択
します。
b. [HA キーのエクスポート] を選択します。ピア デバイ
スがアクセスできるネットワーク上の場所に、HA
キーを保存します。
c. ピア デバイスで [Panorama] > [証明書の管理] > [証明
書] に移動し、[HA キーのインポート] を選択してキー
を保存した場所を検索し、そのキーをインポートし
ます。
ステップ 3
優先度を設定します。
1.
[Panorama] > [ 高可用性 ] で、[ 選択設定 ] セクション
を編集します。
2.
[ デバイス優先度 ] を [ プライマリ ] または [ セカンダリ ]
として定義します。1 つのピアをプライマリとして設定
し、もう 1 つをセカンダリとして設定してください。
両方のピアを同じ優先度に設定すると、シリア
ル番号が高いピアがサスペンド状態になります。
3.
プリエンプティブ動作を定義します。デフォルトで
は、プリエンプションが有効になっています。プリエ
ンプションの選択（有効または無効）は、両方のピア
で同じにする必要があります。
ロギングに NFS を使用しており、プリエンプ
ションを無効にした場合に、NFS へのロギング
を再開するには、「Panorama のフェイルオー
バーにより NFS ロギングが再開された後の優先
度の切り替え」を参照してください。
Panorama 管理者ガイド
207
Panorama HA ペアの管理
Panorama の高可用性
Panorama での HA のセットアップ（続き）
ステップ 4
パス モニタリングを設定するに モニターするノードを含む各パス グループについて、以
は、1 つ以上のパス グループを 下の手順を実行します。
定義します。
1. [Panorama] > [高可用性] を選択し、[パス グループ] セ
クションで、[追加] をクリックします。
パス グループには、ネットワー
ク 接 続 を 確 認 す る た め に 2. [名前] に、パス グループの名前を入力します。
Panorama で ping する必要のあ 3. このグループの [失敗条件] を選択します。
る宛先 IP アドレス（ノード）
• [ いずれか ] を指定すると、いずれかの IP アドレス
が表示されます。
に到達できなくなった場合に、リンク モニタリン
グ障害がトリガーされます。
• [ すべて ] を指定すると、どの IP アドレスにも到達
できない場合にのみ、リンク モニタリング障害が
トリガーされます。
ステップ 5
4.
モニターする各宛先 IP アドレスについて、[追加] をク
リックし、IP アドレスを入力します。
5.
[OK] をクリックします。[パス グループ] セクションに
新しいグループが表示されます。
（任意）Panorama でパス モニ [Panorama] > [ 高可用性 ] を選択し、[ パス モニタリング ]
タリング用の失敗条件を選択 セクションで、[失敗条件] をクリックします。
します。
• [すべて] を指定すると、すべてのモニター対象パス グ
ループが失敗した場合にのみ、フェイルオーバーがト
リガーされます。
• [いずれか] を指定すると、いずれかのモニター対象パス
グループが失敗した場合に、フェイルオーバーがトリ
ガーされます。
ステップ 6
設定の変更を保存します。
[ コミット ] をクリックし、[コミット タイプ ] オプションで
[Panorama] を選択して、[OK] をクリックします。
ステップ 7
他の Panorama ピアを設定し
ます。
HA ペアのもう一方のピアでステップ 2 ～ステップ 6 を実
行します。
ステップ 8
Panorama サーバーが HA でペア HA の両方の Panorama サーバーの設定が完了したら、以下
になっていることを確認し
の手順を実行します。
ます。
1. 各 Panorama で [Dashboard] にアクセスし、[高可用性]
ウィジェットを表示します。
2.
Panorama サーバーがペアになっており、なおかつ同期
されていることを確認します。
• アクティブ Panorama — [ローカル] ピアの状態は [ア
クティブ]、[実行コンフィグ] は [同期済み] になっ
ている必要があります。
• パッシブ Panorama — [ローカル] ピアの状態は [パッ
シブ]、[実行コンフィグ] は [同期済み] になってい
る必要があります。
208
Panorama 管理者ガイド
Panorama の高可用性
Panorama HA ペアの管理
Panorama HA フェイルオーバーのテスト
HA 設定が正しく動作することをテストするには、手動でフェイルオーバーをトリガーして、
ピアの状態が正しく移行することを確認します。
Panorama HA フェイルオーバーのテスト
ステップ 1
アクティブな Panorama ピアに Panorama サーバーの状態は、Web インターフェイスの右下
ログインします。
隅で確認できます。
ステップ 2
アクティブな Panorama ピアを [Panorama] > [ 高可用性 ] の順に選択し、[ 操作コマンド ]
サスペンド状態にします。
セクションの [ ローカル Panorama をサスペンド ] リンク
をクリックします。
ステップ 3
パッシブな Panorama ピアがア Panorama の [Dashboard] の [高可用性] ウィジェットで、
クティブとして引き継がれて [ローカル] パッシブ サーバーの状態が [アクティブ] に、
いることを確認します。
[ピア] の状態が [サスペンド] になっていることを確認し
ます。
ステップ 4
サスペンドされたピアを稼働 Panorama で、以下のように以前にサスペンドしています。
状態に戻します。プリエンプ 1. [Device] > [高可用性] タブの [操作コマンド] セクショ
ティブを有効にしている場合
ンで、[ローカル Panorama を稼働状態にする] リンク
は、しばらく待ってからプリ
をクリックします。
エンプションが発生している 2. [Dashboard] の [高可用性] ウィジェットで、この（ロー
ことを確認します。
カルの）Panorama がアクティブ ピアとして引き継が
れ、他のピアがパッシブ状態に変わっていることを確
認します。
Panorama 管理者ガイド
209
Panorama HA ペアの管理
Panorama の高可用性
Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先
度の切り替え
ネットワーク ファイル共有（NFS）に基づいたロギング方式は、Panorama バーチャル アプラ
イアンスでのみサポートされています。
ネットワーク ファイル共有（NFS）に基づいたロギング方式を使用するように Panorama HA ペ
アを設定すると、プライマリ Panorama ピアのみが NFS ベースのパーティションにマウントさ
れ、NFS に書き込むことができます。フェイルオーバーが発生すると、パッシブ Panorama がア
クティブになり、active-secondary 状態になります。セカンダリ Panorama ピアでは、デバイスを
アクティブに管理することはできますが、NFS パーティションを所有していないため、ログの
受信や NFS への書き込みはできません。管理対象デバイスからプライマリ Panorama ピアにログ
を転送できないと、各デバイスのローカル ディスクにログが書き込まれます。デバイスでは、
passive-primary Panorama が再び使用可能になったときログの転送を再開できるように、Panorama
に転送された最後のログ エントリ セットを指すポインタが保持されています。
NFS パーティションへのロギングを開始できるように active-secondary Panorama ピアで優先度を
手動で切り替えるには、このセクションの手順を使用します。通常、以下の場合に、この変更
をトリガーする必要があります。

プリエンプションが無効になっている。デフォルトでは、Panorama でプリエンプションが有
効になっており、再び使用可能になるとプライマリ ピアがアクティブに戻ります。プリエン
プションが無効になっている場合は、セカンダリ ピアで優先度をプライマリに切り替えて、
NFS パーティションのマウント、管理対象デバイスからのログの受信、NFS パーティション
への書き込みを行えるようにする必要があります。

アクティブ Panorama が失敗し、短期間で障害から回復できない。優先度を切り替えないと、
ファイアウォールでログ ストレージの最大容量に達した場合に、ローカル ディスクへのロ
ギングを続行するために最も古いログが上書きされます。このため、ログが失われる可能性
があります。
Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の切り替え
1.
現在の passive-primary Panorama にログインして、[Panorama ] > [セットアップ] > [操作] の順に選択
し、[デバイスの操作] セクションで [Panorama のシャットダウン] をクリックします。
2.
active-secondary Panorama にログインして、[Device] > [高可用性] の順に選択して、[選択設定] の編集
で [優先順位] を [プライマリ] に設定します。
3.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK] をクリックします。
プロンプトが表示されても再起動しないでください。
4.
Panorama CLI へのログインを行い、以下のコマンドを入力して、NFS パーティションの所有者をこ
のピアに変更します。request high-availability convert-to-primary
5.
[Panorama ] > [セットアップ] > [操作] の順に選択し、[デバイスの操作] セクションで [Panorama の
再起動] をクリックします。
6.
ステップ 1 でパワーオフした Panorama ピアをパワーオンします。これで、このピアが passive-secondary
状態になります。
210
Panorama 管理者ガイド
Panorama の高可用性
Panorama HA ペアの管理
HA 構成の Panorama のアップグレード
シームレスなフェイルオーバーを確実に行うには、HA ペアのプライマリおよびセカンダリの
Panorama ピアが同じ Panorama バージョンであり、アプリケーションおよび脅威データベースが
同じバージョンである必要があります。
以下の例では、Primary_A という名前の active-primary ピアと、Secondary_B という名前の passive-secondary
ピアで構成される HA ペアのアップグレード方法を示します。
HA 構成の Panorama のアップグレード
ステップ 1
ステップ 2
passive-secondary ピアである
Secondary_B で、Panorama ソ フ
トウェア バージョンをアップ
グレードします。
ア ッ プ グ レ ー ド 手 順 は、「コ ン テ ン ツ 更 新 お よ び、
Panorama ソフトウェア更新のインストール」を参照してく
ださい。
この Panorama をアップグレードすると、OS バージョンが
ピアと一致しないため、非稼働状態に変わります。
Primary_A をサスペンドして、 Primary_A の [Panorama] > [高可用性] タブで、以下の手順
フェイルオーバーをトリガー を実行します。
します。
1. [操作コマンド] セクションで、[ローカル Panorama を
サスペンド] リンクをクリックして、このピアをサスペ
ンドします。
2.
サスペンド済みという状態が表示されることを確認し
ます。状態は、Web インターフェイスの右下隅に表示
されます。
Primary_A をサスペンド モードにするとフェイルオー
バーがトリガーされ、Secondary_B が active-secondary 状
態に変わります。
ステップ 3
Primary_A で Panorama ソフトウェ ア ッ プ グ レ ー ド 手 順 は、「コ ン テ ン ツ 更 新 お よ び、
ア バージョンをアップグレー Panorama ソフトウェア更新のインストール」を参照してく
ドします。
ださい。
再起動すると、Primary_A はまず passive-primary 状態になり
ます。デフォルトによりプリエンプションが有効になっ
ているため、Primary_A は自動的に active-primary 状態に変
わり、Secondary_B は passive-secondary 状態に戻ります。
プリエンプションを無効にした場合に Primary_A をアク
テ ィブ 状態に 戻すに は、「プラ イマリ Panorama のア ク
ティブ状態への復元」を参照してください。
ステップ 4
Panorama ソフトウェア バージョ
ンおよび他のコンテンツ デー
タベース バージョンが、両方
のピアで同じであることを確
認します。
Panorama 管理者ガイド
各 Panorama ピアの [Dashboard] で、Panorama ソフトウェ
ア バージョン、脅威バージョン、アプリケーション バー
ジョンが一致し、実行中の設定がピアと同期されている
ことを確認します。
211
Panorama HA ペアの管理
Panorama の高可用性
プライマリ Panorama のアクティブ状態への復元
デフォルトでは、Panorama のプリエンプティブ機能により、プライマリ Panorama が使用可能に
なった時点で、アクティブ ピアとして機能を再開できます。ただし、プリエンプションが無効
な場合に、障害、非稼働、またはサスペンド状態から回復した後でプライマリ Panorama を強制
的にアクティブにするには、セカンダリ Panorama ピアをサスペンドする必要があります。
active-secondary Panorama は、自身がサスペンド状態になる前に、候補設定をパッシブ デバイス
に転送して、コミットされていないすべての設定変更を保存し、他のピアからアクセスできる
ようにします。
セカンダリ Panorama のサスペンド
ステップ 1
ステップ 2
Panorama をサスペンドします。 1.
サスペンド状態にする Panorama ピアにログインします。
2.
[Panorama] > [高可用性 ] の順に選択し、[ 操作コマン
ド] セクションの [ローカル Panorama をサスペンド ]
リンクをクリックします。
ユーザーの要求によりデバイ
スがサスペンドされた状態で
あることが表示されているこ
とを確認します。
[Dashboard] の [高可用性] ウィジットで、[ローカル] 状態
が [サスペンド] になっていることを確認します。
ピアをサスペンドするとフェイルオーバーがトリガーされ、
他の Panorama がアクティブ ピアとして引き継がれます。
プライマリ Panorama の稼働状態への復元
ステップ 3
212
サスペンドされた Panorama を稼 1.
働状態に戻します。
[Panorama] > [高可用性 ] タブの [ 操作コマンド ] セク
ションで、[ローカル Panorama を稼働状態にする] リ
ンクをクリックします。
2.
[Dashboard] の [高可用性] ウィジットで、デバイスが
アクティブ状態またはパッシブ状態に変わったことを
確認します。
Panorama 管理者ガイド
Panorama の管理
このセクションでは、Panorama を管理および維持する方法について説明します。このセクショ
ンは、以下のトピックで構成されています。

設定バックアップ ファイルの管理

Panorama の各設定ファイル間の変更点の比較

設定の変更へのアクセス制限

Panorama へのカスタム ロゴの追加

Panorama のタスク完了履歴の表示

ログ ストレージ割り当ての再割り当て

Panorama のモニタリング

Panorama の再起動またはシャットダウン

Panorama の診断ファイルの生成

Panorama のパスワード プロファイルおよび複雑性の設定

M-100 アプライアンスの障害ディスクの置き換え

Panorama バーチャル アプライアンスの仮想ディスクの置き換え
初期セットアップ（ネットワーク アクセス設定の定義、ライセンス、Panorama ソフトウェア
バージョンのアップグレード、Panorama への管理アクセスのセットアップなど）を実行する
手順の詳細は、「Panorama のセットアップ」を参照してください。
Panorama 管理者ガイド
213
設定バックアップ ファイルの管理
Panorama の管理
設定バックアップ ファイルの管理
設定バックアップ ファイルは、システム設定のスナップショットです。システム障害や設定ミ
スがあった場合、設定バックアップ ファイルを使用することで、Panorama を以前保存したバー
ジョンの設定に復元できます。Panorama では、管理対象ファイアウォールや Panorama の設定
バックアップ ファイルを管理できます。

管理対象デバイスの設定バックアップ ファイルの管理 — Panorama では、PAN-OS バージョ
ン 5.0 以降を実行している管理対象ファイアウォールにコミットされるすべての設定の変更
が自動的に保存されます。デフォルトでは、ファイアウォールごとに最大 100 個のバージョ
ンが Panorama に保存されます。この値は設定可能です。

Panorama の設定バックアップ ファイルの管理 — 必要に応じて、Panorama の実行中の設定を
手動でエクスポートできます。

設定ファイル パッケージのエクスポート — Panorama では、Panorama の実行中の設定に加え
て、すべての管理対象ファイアウォールの実行中の設定のバックアップが保存されます。要
求時または [スケジュール設定された設定のエクスポート] 機能を使用してエクスポートをス
ケジュール設定することで、Panorama および管理対象ファイアウォールの最新バージョンの
設定バックアップの gzip パッケージを生成できます。パッケージは、FTP または Secure Copy
（SCP）サーバーに毎日送信されるようにスケジュール設定できます。パッケージ内のファ
イルは XML フォーマットで、各ファイルの名前には、識別しやすいようにファイアウォー
ルのシリアル番号が含まれています。
以下のタスクを実行して、設定バックアップを管理できます。

設定ファイルのエクスポートのスケジュール設定

Panorama の設定バックアップ ファイルの管理

Panorama に保存される設定バックアップ ファイル数の設定

管理対象ファイアウォールでの設定バックアップ ファイルのロード
214
Panorama 管理者ガイド
Panorama の管理
設定バックアップ ファイルの管理
設定ファイルのエクスポートのスケジュール設定
以下の指示に従い、Panorama および管理対象ファイアウォールの実行中の設定のバックアップ
が含まれている設定ファイル パッケージを毎日エクスポートするようにスケジュール設定しま
す。エクスポートを設定するには、スーパーユーザー権限が必要です。
Panorama で高可用性（HA）が設定されている場合は、各ピアで以下の手順を実行して、フェイ
ルオーバー後もスケジュール設定されたエクスポートが継続して実行されるようにする必要が
あります。Panorama は、スケジュール設定されたエクスポートを HA ピア間で同期しません。
設定ファイルのエクスポートのスケジュール設定
1.
[Panorama] > [スケジュールされた設定のエクスポート] の順に選択します。
2.
[追加] をクリックして、ファイル エクスポート プロセスの [名前] および [内容] を入力します。
3.
[有効化] を選択して、設定ファイルのエクスポートを許可します。
4.
設定ファイルを毎日エクスポートする時間を入力するか、ドロップダウンから選択します。24 時間
形式が使用されます。
5.
プロトコルを選択します。
6.
サーバーにアクセスするための詳細情報を入力します。ホスト名または IP アドレス、ポート、ファ
イルのアップロード パス、および認証情報を入力します。
7.
（SCP のみ）[SCP サーバー接続のテスト] をクリックします。データの安全な転送を有効にするには、
SCP サーバーのホスト キーを確認して受け入れる必要があります。ホスト キーを受け入れるまで、
接続は確立されません。Panorama で HA が設定されている場合は、各ピアで以下の手順を実行し、
それぞれが SCP サーバーのホスト キーを受け入れるようにする必要があります。Panorama から SCP
サーバーに正常に接続できた場合、ssh-export-test.txt という名前のテスト ファイルが作成されて
アップロードされます。
8.
変更を保存します。[コミット] をクリックし、[コミット タイプ] として [Panorama] を選択して [OK]
をクリックします。
Panorama 管理者ガイド
215
設定バックアップ ファイルの管理
Panorama の管理
Panorama の設定バックアップ ファイルの管理
以下の手順を使用して、Panorama 設定バージョンを検証、保存、ロード、エクスポート、イン
ポートしたり、元に戻したりします。
Panorama の設定バックアップ ファイルの管理 : 検証、元に戻す、保存、ロード、エクスポートまたはインポート
1.
[Panorama] > [セットアップ] > [操作] の順に選択します。
2.
[ 設定の管理 ] セクションで、以下のオプションから選択します。
• Panorama 候補設定の検証 — 候補設定にエラーがないかどうかを確認します。設定ファイルを検
証することで、変更をコミットする前にエラーを解決できます。
• 最後に保存した Panorama 設定に戻します — 現在の候補設定を上書きして、最後に保存した候補
設定をディスクから復元します。
• 実行中の Panorama 設定に戻します — 候補設定に保存されたすべての変更をも元に戻します。こ
れにより、最後のコミット操作以降に行われたすべての設定の変更を効率的に取り消すことがで
きます。
• 名前付き Panorama 設定スナップショットの保存 — 候補設定をファイルに保存します。ファイル
名を入力するか、上書きする既存のファイルを選択します。現在のアクティブ コンフィグ ファ
イル（running-config.xml）はオーバーライドできません。
• Panorama 候補設定の保存 — 候補設定をディスクに保存します。これは、ページ上部にある [保
存] リンクを使用して、変更を候補設定ファイルに保存する場合と同じです。
• Panorama 設定バージョンのロード — 以前にコミットしたバージョンのリストから設定ファイル
をロードします。
• 名前付き Panorama 設定スナップショットのロード — 選択した候補設定をロードします。以前に
インポートまたは保存した設定を選択できます。現在の候補設定は上書きされます。
• 名前付き Panorama 設定スナップショットのエクスポート — アクティブな設定（running-config.xml）
や、以前に保存またはインポートした設定をエクスポートします。エクスポートする設定ファイ
ルを選択します。このファイルは、開いたり、ネットワーク上に保存したりすることができます。
• Panorama 設定バージョンのエクスポート — 以前にコミットした設定ファイルのバージョンをエ
クスポートします。エクスポートするバージョンを選択します。
• Panorama およびデバイスの設定バンドルのエクスポート — このオプションは、Panorama および
管理対象ファイアウォールの設定バックアップの最新バージョンを手動で生成およびエクスポー
トする場合に使用します。設定バンドルを毎日作成して SCP または FTP サーバーにエクスポート
するプロセスを自動化する方法は、「設定ファイルのエクスポートのスケジュール設定」を参照
してください。
• 名前付き Panorama 設定スナップショットのインポート — 以前にエクスポートした設定ファイル
をインポートします。[参照] をクリックして、保存したファイルを探し、[OK] をクリックしてイ
ンポートします。
216
Panorama 管理者ガイド
Panorama の管理
設定バックアップ ファイルの管理
Panorama に保存される設定バックアップ ファイル数の設定
Panorama に保存される設定バックアップ ファイル数の設定
1.
[Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングおよびレポート設定] を編集します。
2.
[設定バックアップのバージョン数] には、1 ～ 1048576 の数値を入力します。デフォルトは 100 です。
3.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK] をクリックします。
管理対象ファイアウォールでの設定バックアップ ファイルのロード
Panorama を使用して、管理対象ファイアウォールに設定バックアップ ファイルをロードします。
ファイアウォールで以前に保存またはコミットした設定に戻すことができます。Panorama によ
り、選択したバージョンが管理対象ファイアウォールにプッシュされ、ファイアウォールの現
在の候補設定が上書きされます。
管理対象ファイアウォールでの設定バックアップ ファイルのロード
1.
[Panorama] > [管理対象デバイス] の順に選択します。
2.
[バックアップ] 列の [管理中...] リンクを選択します。
3.
[保存された設定] または [コミットされた設定] から選択します。
• [バージョン] 列のリンクをクリックし、選択したバージョンのコンテンツを表示します。
• [ロード] をクリックし、選択した設定バージョンをロードします。
4.
変更を保存します。[コミット] をクリックし、[コミット タイプ] に [Panorama] を選択します。
Panorama 管理者ガイド
217
Panorama の各設定ファイル間の変更点の比較
Panorama の管理
Panorama の各設定ファイル間の変更点の比較
Panorama の設定の変更を比較するには、設定ファイル（候補設定、実行中の設定、Panorama に
以前に保存されたまたはコミットされた他の設定バージョン）の 2 つのセットを選択します。
並列比較により、以下が可能になります。

Panorama にコミットする前に設定の変更をプレビューする。たとえば、候補設定と実行中の
設定の変更をプレビューできます。変更の比較と識別が容易になるように、左ペインに古い
バージョン、右ペインに新しいバージョンを選択することをお勧めします。

設定監査を実行し、設定ファイルの 2 つのセットの変更を確認および比較する。
Panorama の各設定ファイル間の変更点の比較
1.
[Panorama] > [設定監査] の順に選択します。
2.
各ドロップダウンで、比較する設定を選択します。
3.
コンテキストに含める行数を選択して、[実行] をクリックします。
バージョンを簡単に比較できるように、変更が強調表示されます。
設定監査のために Panorama が保存するバージョンの数の設定
1.
[Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングおよびレポート設定] を編集します。
2.
[設定監査のバージョン数] には、1 ～ 1048576 の数値を入力します。デフォルトは 100 です。
3.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK] をクリックします。
コミット前の Panorama 設定ファイルの表示および比較
1.
[コミット] をクリックします。
2.
[変更内容の確認] を選択し、表示するコンテキストの行数を選択します。
3.
[OK] をクリックします。
218
Panorama 管理者ガイド
Panorama の管理
設定の変更へのアクセス制限
設定の変更へのアクセス制限
ロックを使用すれば、複数の管理ユーザーが Panorama や共有ポリシーの設定を変更したり、選
択したテンプレートおよび / またはデバイス グループに変更をコミットしたりしないようにで
きます。

設定ロックのタイプ

ロックを設定する場所

ロックの設定

ロック所有者の表示

コミット ロックの自動実施の有効化

ロックの解除
設定ロックのタイプ
使用可能なロックのタイプは以下のとおりです。

コンフィグ ロック — 他の管理者が設定を変更できないようにブロックします。このタイプの
ロックは、グローバルに設定することも、1 つの仮想システムに設定することもできます。
このロックを解除できるのは、ロックを設定した管理者またはスーパーユーザーだけです。
設定のロックは、自動的に解除されません。

コミット ロック — すべてのロックが解除されるまで他の管理者が変更をコミットできないよ
うにブロックします。コミット ロックでは、2 名の管理者が同時に変更を行い、2 番目の管
理者が完了する前に最初の管理者が変更を完了させてコミットした場合に、部分的な設定の
変更が誤ってファイアウォールまたは Panorama にコミットされないようにします。ロック
を適用した管理者が変更をコミットすると、ロックは自動的に解除されます。ロックを実行
した管理者またはスーパーユーザーが手動でロックを解除することもできます。
ファイアウォールでコミット ロックが適用されている場合は、管理者が、そのファイア
ウォールが含まれるテンプレートまたはデバイス グループに設定の変更や共有ポリシーをコ
ミットすると、そのコミットに失敗し、ファイアウォールに未処理のロックがあることを示
すエラー メッセージが表示されます。
ファイアウォールまたは Panorama の設定を変更できない読み取り専用管理者は、どちらの
ロックも実行できません。
変更をコミットできないロールベース管理者は、コンフィグ ロックを設定して候補設定に変更
を保存できます。ただし、変更をコミットすることはできません。変更をコミットできないた
め、コミットでロックが自動的に解除されることはありません。管理者は、必要な変更を行っ
たら、手動でコンフィグ ロックを解除する必要があります。
Panorama 管理者ガイド
219
設定の変更へのアクセス制限
Panorama の管理
ロックを設定する場所
管理者は、以下のいずれかのカテゴリ（場所）でロックを設定できます。

デバイス グループ — 選択したデバイス グループに対する変更を制限します。

テンプレート — 選択したテンプレートに含まれるファイアウォールに対する変更を制限します。

共有 — すべてのデバイス グループ間で共有される中央管理ポリシー（プレルールとポストルー
ル）に対する変更を制限します。共有ポリシーの詳細は、「ポリシー」を参照してください。

Panorama — Panorama での変更へのアクセスを制限します。
ロックの設定
ロックの設定
1.
Web インターフェイスの右上隅にあるロック アイコンをクリックします。
2.
[ロック設定] を選択します。
3.
[タイプ] では、ロール/許可の設定に基づいて、[コミット] または [設定] を選択します。
4.
ロックを設定するカテゴリを選択します。
5.
ロックを設定する理由を示す [コメント] を追加することをお勧めします。
6.
[OK] をクリックします。
ロック所有者の表示
特定の設定エリアを変更する前に、別の管理者がそのエリアのロックを設定しているかどうか
を確認します。
.
ロック所有者の表示
Web インターフェイスの右上隅にあるロック アイコンをクリックし、詳細を確認します。
ロック アイコンには、設定されている合計ロック数が表示されます。また、ロック所有者のユーザー
名、ロックのタイプ、ロックが適用されているカテゴリ、ロックが設定されたタイミング、管理者の最
後のアクティビティ、管理者がまだログインしているかどうかに関する情報も表示されます。
220
Panorama 管理者ガイド
Panorama の管理
設定の変更へのアクセス制限
コミット ロックの自動実施の有効化
デフォルトでは、Panorama で変更を開始する前にロックを手動で設定する必要があります。コ
ミット ロックの自動実施を有効にするには、以下の手順を実行します。
.
コミット ロックの自動実施の有効化
1.
[Panorama] > [セットアップ] > [管理] の順に選択し、[一般設定] を編集します。
2.
[コミット ロックの自動実施] チェック ボックスをオンにします。
3.
[OK] をクリックして [コミット] をクリックし、[コミット タイプ] で [Panorama] を選択して、[OK]
をクリックします。
ロックの解除
ロックの解除
1.
Web インターフェイスの右上隅にあるロック アイコンをクリックします。
2.
解除するロックを選択し、[ロックの削除] をクリックします。
スーパーユーザーではない場合は、以前に設定したロックのみを削除できます。
3.
[OK] をクリックします。
Panorama 管理者ガイド
221
Panorama へのカスタム ロゴの追加
Panorama の管理
Panorama へのカスタム ロゴの追加
イメージ ファイルをアップロードして、Panorama の以下のエリアをカスタマイズできます。

ログイン画面の背景イメージ

Web インターフェイスの左上隅にあるヘッダー。Panorama のデフォルトの背景を非表示にす
ることもできます。

PDF レポートのタイトル ページおよびフッターのイメージ
.jpg、.gif、および .png などのイメージ タイプがサポートされています。PDF レポートで使用する
イメージ ファイルには、アルファ チャネルを含めることはできません。イメージのサイズは、
128 キロバイト（131,072 バイト）未満にする必要があります。推奨サイズが画面に表示されま
す。サイズが推奨サイズよりも大きい場合、イメージが自動的に切り取られます。
Panorama へのカスタム ロゴの追加
1.
[Panorama] > [セットアップ] > [操作] の順に選択します。
2.
[その他] セクションで、[カスタム ロゴ] を選択します。
3.
ロゴのアップロード アイコンをクリックし、ログイン画面、主要なユーザー インターフェイスの左
隅、PDF レポートのタイトル ページ、および PDF レポート フッターのいずれかのイメージを選択
します。
4.
[ 開く ] をクリックしてイメージを追加します。イメージをプレビューするには、ロゴのプレビュー
アイコンをクリックします。
5.
（任意）Panorama Web インターフェイスの緑の背景をクリアするには、[Panorama バックグラウン
ド ヘッダーの非表示] チェック ボックスをオンにします。
6.
[閉じる] をクリックして、変更内容を保存します。
7.
[コミット] をクリックし、[コミット タイプ] で [Panorama] を選択します。
222
Panorama 管理者ガイド
Panorama の管理
Panorama のタスク完了履歴の表示
Panorama のタスク完了履歴の表示
タスク マネージャを使用して、現在実行中のタスク、履歴タスク データ、イベントの成功また
は失敗の情報、および関連するエラーを表示します。
Panorama のタスク完了履歴の表示
1.
Web インターフェイスの右下隅にあるタスク アイコンをクリックします。
2.
表示するタスクのリストを選択します。デフォルトでは、[すべてのタスク] が表示されます。
3.
[すべて] または [実行中] のタスクを基準にフィルタリングし、[ジョブ]、[レポート]、または [ログ要
求] を選択することができます。
• ジョブ — Panorama 上で実行された、または Panorama から管理対象ファイアウォールに一元的に
プッシュされたソフトウェアおよびダイナミック更新のコミット、自動コミット、ダウンロー
ド、インストールが表示されます。各ジョブはリンクになっています。[ タイプ ] 列のリンクをク
リックして、ファイアウォールの詳細、状態、存在する場合にはエラーを表示します。
• レポート — スケジュール設定されたレポートの状態や開始時間が表示されます。
• ログ要求 — [Monitor] > [ログ ビューアー] タブまたは [Dashboard] からトリガーされたログ クエ
リが表示されます。たとえば、[Dashboard] の [URL フィルタリング] ウィジットまたは [データ フィ
ルタリング] ウィジットにログを表示するには、Panorama でログ要求を生成します。
Panorama 管理者ガイド
223
ログ ストレージ割り当ての再割り当て
Panorama の管理
ログ ストレージ割り当ての再割り当て
Panorama で使用できるログ ストレージ容量を再配分するには、各ログ タイプのログ ストレー
ジ割り当てを増減させます。ログ割り当ての再割り当てプロセスは、以下のように Panorama
バーチャル アプライアンスと M-100 アプライアンスで異なります。

Panorama バーチャル アプライアンスの場合 — すべてのログは、サーバーに割り当てられたス
トレージ スペース（インストール時に作成されたデフォルトの 10 GB ディスク、サーバーに
追加された仮想ディスク、Panorama にマウントされた NFS パーティション）に書き込まれ
ます。

M-100 アプライアンスの場合 — ログは内部 SSD および RAID 対応ディスクの 2 ヶ所に保存さ
れます。M-100 アプライアンスの内部 SSD は、すべての管理対象ファイアウォールから
Panorama に 15 分間隔で自動的に送信される設定ログ、システム ログ、アプリケーション統
計を保存するために使用されます。その他のすべてのログは、RAID 対応ディスクに保存さ
れます。RAID ディスクに保存されるログのストレージ容量の再割り当てを行うには、コレ
クタ グループの設定を変更する必要があります。
次の各作業の手順を以下に示します。

Panorama バーチャル アプライアンスのログ ストレージ割り当ての再割り当て

M-100 アプライアンスのシステム ログ、設定ログおよびアプリケーション統計（アプリケー
ション状態）のログ ストレージ容量の再割り当て

RAID 対応ディスクに保存されるログのストレージ容量の再割り当て
Panorama バーチャル アプライアンスおよび M-100 アプライアンスのログ ストレージ割り当ての再割り当て
ステップ 1
各ログ タイプでログ ストレー 1.
ジ容量を分配します。
[Panorama] > [セットアップ] > [管理] の順に選択し、
[ロギングおよびレポート設定] を編集します。
2.
ストレージ スペースを追加または削減するログ タイ
プの [割り当て（%）] を変更します。
値 を 変 更 す る と 画 面 が 更 新 さ れ て、仮 想 デ ィ ス ク
/NFS/HDD（該当する場合）の合計ストレージに基づ
いて割り当てられる、パーセンテージに対応する数値
（GB/MB）が表示されます。
M-100 アプライアンスでは、使用可能な容量を
[設定]、[システム] および [アプリケーション状
態 ] ログ間で割り当てることができます。その
他のすべてのログは、RAID 対応ディスクに書
き込まれ、HDD には保存されません。
224
Panorama 管理者ガイド
Panorama の管理
ログ ストレージ割り当ての再割り当て
RAID 対応ディスクのログ ストレージ割り当ての再割り当て
ステップ 2
M-100 アプライアンスの各ログ 1.
タイプのストレージ容量のパー
センテージを割り当てます。 2.
ログ ストレージ容量に「0MB」
と表示される場合、ログ コレ
クタをコレクタ グループに追
加していない可能性がありま
す。「コレクタ グループの設
定」の トピ ッ ク の ス テ ッ プ 8
を完了してから、もう一度こ
のタスクを実行してください。
3.
それでも 0 MB として表示され
ている場合、ディスク ペアで
ログが有効になっていて、変
更がコレクタ グループにコ
ミットされていることを確認
し ます。「管理 対象 コレク タ 4.
の設定」のトピックのステッ
プ 10 を参照してください。
Panorama 管理者ガイド
[Panorama] > [コレクタ グループ] の順に選択し、コレ
クタ グループのリンクをクリックします。
コレクタ グループの [ ログ ストレージ ] の容量のリン
クをクリックします。
各ログ タイプに割り当てられている [割り当て] を変更
します。
値を変更すると画面が更新されて、コレクタ グループ
の合計ストレージに基づいて割り当てられる、パーセ
ンテージに対応する数値（GB/MB）が表示されます。
（任意）必要に応じて [デフォルトの復元] をクリック
します。これにより、変更が取り消されて、工場出荷
時の割り当てにリセットされます。
225
Panorama のモニタリング
Panorama の管理
Panorama のモニタリング
Panorama をモニターするには、Panorama のシステム ログと設定ログを定期的に確認するか、ま
たは SNMP トラップおよび / または電子メール アラートを設定し、Panorama のモニター対象メ
トリックの状態が変化したり、しきい値に達したりした場合に通知されるようにすることがで
きます。電子メール アラートおよび SNMP トラップは、注意を必要とする重大なシステム イベ
ントを即座に通知する場合に便利です。

Panorama のシステム ログと設定ログ

Panorama の電子メール アラートのセットアップ

Panorama をモニターする SNMP のセットアップ
Panorama のシステム ログと設定ログ
Panorama は、システム イベントが発生した場合や設定が変更された場合にはいつでも通知を送
信するように設定できます。Panorama では、デフォルトですべての設定変更が設定ログに記録
されます。システム ログの場合、各イベントに重大度レベルが関連付けられます。レベルに
よってイベントの緊急度や影響が示されます。モニターする重大度レベルに応じて、すべてま
たは選択したシステム イベントを記録するように選択できます。
このセクションでは、Panorama ログのみを扱います。管理対象ファイアウォールからのログ
転送の詳細は、「Panorama へのログ転送の有効化」を参照してください。


設定ログ — ログ設定（[Panorama] > [ログ設定] > [設定ログ]）でサーバー プロファイルを指
定して、設定ログの転送を有効にします。
システム ログ — ログ設定（[Panorama] > [ログ設定] > [システム ログ]）でサーバー プロファ
イルを指定して、システム ログの転送を有効にします。転送する重大度レベルごとにサー
バー プロファイルを選択します。以下の表にシステム ログの重大度レベルを要約して示し
ます。
重大度
内容
Critical
ハードウェア障害（HA フェイルオーバーなど）やリンク障害のような、迅速な対
応が求められる障害および兆候を示します。
High
システムの動作に悪影響を与える深刻な問題（ログ コレクタの切断やコミット エ
ラー）。
Medium
アンチウイルス パッケージのアップグレードやコレクタ グループのコミットなど
の中レベルの通知。
Low
ユーザー パスワードの変更などそれほど重要ではない通知。
Informational
ログイン / ログオフ、設定の変更、認証の成功および失敗の通知、コミットの成
功、および他の重大度レベルでカバーされないその他のすべてのイベントなどの
通知イベント。
226
Panorama 管理者ガイド
Panorama の管理
Panorama のモニタリング
M-100 アプライアンスでは、設定ログとシステム ログが HDD に保存されます。Panorama バー
チャル アプライアンスでは、割り当てられたストレージ ボリュームにログが保存されます。監
査のためにログを長期保管する必要がある場合は、Syslog サーバーにログを転送するように
Panorama を設定することもできます。
Panorama の電子メール アラートのセットアップ
Panorama の電子メール アラートのセットアップ
ステップ 1
使用している電子メール サー 1.
バーのサーバー プロファイル
を作成します。
2.
3.
[Panorama] > [サーバー プロファイル] > [電子メール ]
の順に選択します。
[追加] をクリックし、プロファイルの [名前] を入力し
ます。
[ 追加 ] をクリックして新しい電子メール サーバー エ
ントリを追加し、SMTP（Simple Mail Transport Protocol）
サーバーに接続して電子メールを送信するために必要
な情報を入力します（プロファイルには電子メール
サーバーを 4 つまで追加できます）。
• サーバー — 電子メール サーバーを識別する名前
（1 ～ 31 文字）。このフィールドは単なるラベルで
あり、既存の SMTP サーバーのホスト名である必要
はありません。
• 表示名 — 電子メールの [ 差出人 ] フィールドに表示
される名前。
• 送信者 — 電子メール通知の送信元の電子メール ア
ドレス。
• 宛先 — 電子メール通知の送信先の電子メール アド
レス。
• その他の受信者 — 通知を 2 番目のアカウントに送
信するには、ここに追加のアドレスを入力します。
• ゲートウェイ — 電子メールの送信に使用する SMTP
ゲートウェイの IP アドレスまたはホスト名。
4.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
ステップ 2
（任意）Panorama が送信するロ [ カスタム ログ フォーマット ] タブを選択します。さまざ
グのフォーマットをカスタマ まなログ タイプでのカスタム フォーマットの作成方法に
ついては、『Common Event Format Configuration Guide』を
イズします。
参照してください。
ステップ 3
サーバー プロファイルを保存 1.
し、変更をコミットします。 2.
Panorama 管理者ガイド
[OK] をクリックしてプロファイルを保存します。
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
227
Panorama のモニタリング
Panorama の管理
Panorama の電子メール アラートのセットアップ（続き）
ステップ 4
システム ログおよび設定ログ 1.
の特定のイベントの電子メー
ル通知を有効にします。
電子メール通知を有効にします。
• システム イベントの場合 :
a. [Panorama] > [ログ設定] > [システム] の順に選択し
ます。
b. 通知を有効にする各重大度レベルのリンクをクリッ
クし、作成した [ 電子メール ] サーバー プロファイ
ルを選択します。
• 設定変更の場合:
a. [Panorama ] > [ログ設定] > [設定] の順に選択し、
[ログ設定] セクションを編集します。
b. 作成した [ 電子メール ] サーバー プロファイルを選
択します。
2.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
Panorama をモニターする SNMP のセットアップ
Simple Network Management Protocol（SNMP）により、SNMP 管理ステーションから、Palo Alto
Networks の MIB（全一覧については、「PAN-OS MIB」を参照してください）に含まれている特
定のオブジェクト識別子（OID）または一定範囲の OID へのアクセスを有効にすることができ
ます。SNMP を使用することにより、イベントの発生時に Panorama の状態をクエリ（SNMP
GET）し、アラート（SNMP トラップ）をトリガーすることができます。Panorama では、SNMP v2c
および v3 がサポートされています。
ログ コレクタをモニターする場合の SNMP をセットアップするには、「コレクタ グループの
設定」を参照してください。
228
Panorama 管理者ガイド
Panorama の管理
Panorama のモニタリング
障害が発生するか変更が行われる（たとえば、システム ファンの障害）、ディスク ドライバが
追加される、または HA フェイル オーバーが発生すると、Panorama は、SNMP トラップを開始
し、それらを SNMP マネージャに送信します。Panorama は、トラップを定期的に送信するので
はなく、トリガー イベントが発生した場合にのみ送信します。
SNMP 取得により、プロアクティブなモニタリングが可能になります。たとえば、Panorama に
ポーリングし、障害が発生する前に以下のような潜在的なシステムの問題を識別するのに役立
つトレンド グラフを生成できます。

M-100 アプライアンスの受信ログ レートや、アプライアンスのログ ディスク容量をモニター
して、ログ コレクタの最大容量に近づいているかどうかを判断します。この情報により、ロ
グ ストレージ容量の拡張やログ コレクタの追加が必要かどうかを評価できます。

Panorama の状態や、インストールされているソフトウェア/コンテンツの更新バージョン（ア
ンチウイルスのバージョン、アプリケーションおよび脅威のデータベースのバージョン、お
よび Panorama ソフトウェアのバージョン）などのシステム情報をモニターします。
Panorama をモニターする SNMP のセットアップ
ステップ 1
SNMP サービスを受信するよう 1.
に管理インターフェイスを設
定します。
2.
Panorama 管理者ガイド
[Panorama] > [セットアップ] > [管理] の順に選択し
ます。
[ 管理インターフェイス設定 ] セクションの [ サービス ]
で SNMP が 有 効 に な っ て い る こ と を 確 認 し ま す。
SNMP が有効になっていない場合は、[ 管理インター
フェイス設定 ] を編集し、[SNMP] チェック ボックス
をオンにし、[OK] をクリックして変更を保存します。
229
Panorama のモニタリング
Panorama の管理
Panorama をモニターする SNMP のセットアップ（続き）
ステップ 2
SNMP をモニターするように
Panorama を設定します。
1.
[Panorama] > [セットアップ] > [操作] の順に選択し
ます。
SNMP v3 のスクリーン ショッ 2.
トを以下に示します。
3.
[その他] セクションで、[SNMP のセットアップ] を選
択します。
4.
管理上の [連絡先] の電子メール アドレスを 1 つ以上追
加します。
5.
SNMP の [バージョン] を選択し、設定の詳細を（使用
している SNMP バージョンに応じて）以下のように入
力し、[OK] をクリックします。
Panorama の [場所] を指定するテキスト文字列を入力し
ます。
• V2c — SNMP マネージャが Panorama の SNMP エー
ジェントにアクセスできるようにする [SNMP コミュ
ニティ名 ] を入力します。デフォルト値は public で
す。ただし、これは一般的なコミュニティ名である
ため、ベスト プラクティスとして、容易に推測で
きない値を使用することをお勧めします。
• V3 — SNMPv3 を使用するには、表示とユーザーを
それぞれ少なくとも 1 つ作成する必要があります。
表示には、マネージャがアクセス権を持つ管理情報
を指定します。すべての管理情報へのアクセスを許
可するには、最上位 OID「.1.3.6.1」を入力し、[オプ
ション] に [包含] を指定します（特定のオブジェク
トを除外する表示を作成することもできます）。
[マスク] として「0xf0」を使用します。ユーザーの
作成時に、作成した [ ビュー] を選択し、[ 認証パス
ワード] および [専用パスワード] を指定します。
Panorama で設定した認証設定（V2c のコミュニティ
名または V3 のユーザー名およびパスワード）は、
SNMP マネージャで設定した値と一致している必要
があります。
230
6.
[OK] をクリックして設定を保存します。
7.
[ コミット ] をクリックして [ コミット タイプ ] として
[Panorama] を選択し、実行中の設定に変更を保存し
ます。
Panorama 管理者ガイド
Panorama の管理
Panorama のモニタリング
Panorama をモニターする SNMP のセットアップ（続き）
ステップ 3
SNMP マネージャに接続して認 1.
証されるために必要な情報を
含んだサーバー プロファイル 2.
を作成します。
[Panorama] > [サーバー プロファイル] > [SNMP トラッ
プ] の順に選択します。
[追加] をクリックし、プロファイルの [名前] を入力し
ます。
3.
使用中の SNMP のバージョン（[V2c] または [V3]）を指
定します。
4.
[追加] をクリックして新しい [SNMP トラップ レシー
バ ] エントリを追加します（サーバー プロファイルあ
たりトラップ レシーバを 4 つまで追加できます）。必
須の値は、SNMP V2c と V3 のどちらを使用中なのかに
よって決まります。
SNMP V2c の場合
• サーバー — SNMP マネージャを識別する名前（1 ～
31 文 字）。こ の フ ィ ー ル ド は 単 な る ラ ベ ル で あ
り、既存の SNMP サーバーのホスト名である必要は
ありません。
• マネージャ — トラップの送信先 SNMP マネージャの
IP アドレス。
• コミュニティ — SNMP マネージャに対して認証する
ために必要なコミュニティ名。
SNMP V3 の場合
• サーバー — SNMP マネージャを識別する名前（1 ～
31 文 字）。こ の フ ィ ー ル ド は 単 な る ラ ベ ル で あ
り、既存の SNMP サーバーのホスト名である必要は
ありません。
• マネージャ — トラップの送信先 SNMP マネージャの
IP アドレス。
• ユーザー — SNMP マネージャに対して認証するた
めに必要なユーザー名。
• エンジン ID — Panorama のエンジン ID。これは、0x
プレフィックスが付いた 5 ～ 64 バイトの 16 進数値で
す。各 Panorama には、個別のエンジン ID がありま
す。エンジン ID を確認するには、SNMP v3 用にサー
バーを設定し、SNMP マネージャまたは MIB ブラウ
ザから Panorama に GET メッセージを送信します。
• 認証パスワード — SNMP マネージャに対する
authNoPriv レベルのメッセージで使用されるパス
ワ ー ド。こ の パ ス ワ ー ド は Secure Hash Algorithm
（SHA-1）を使用してハッシュされますが、暗号化
はされません。
• 専用パスワード — SNMP マネージャに対する authPriv
レベルのメッセージで使用されるパスワード。このパ
スワードは SHA を使用してハッシュされ、Advanced
Encryption Standard（AES 128）を使用して暗号化さ
れます。
5.
Panorama 管理者ガイド
[OK] をクリックしてサーバー プロファイルを保存し
ます。
231
Panorama のモニタリング
Panorama の管理
Panorama をモニターする SNMP のセットアップ（続き）
ステップ 4
設定ログおよび Syslog イベント • システム イベントの場合 :
の SNMP トラップを有効にし
a. [Panorama] > [ログ設定] > [システム] の順に選択し
ます。
ます。
b. 通知を有効にする各重大度レベルのリンクをクリッ
クし、ステップ 3 で作成した [SNMP トラップ ] サー
バー プロファイルを選択します。
• 設定変更の場合 :
a. [Panorama ] > [ログ設定] > [設定] の順に選択し、[ロ
グ設定] セクションを編集します。
b. ステップ 3 で作成した [SNMP トラップ] サーバー プ
ロファイルを選択します。
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。
ステップ 5
変更を保存します。
ステップ 6
SNMP マネージャで SNMP ト Panorama から送信されたトラップを解釈するには、PAN-OS
ラップを解釈できるようにし MIB ファイルを SNMP 管理ソフトウェアにロードし、必要
ます。
に応じてコンパイルする必要があります。コンパイルさ
れた MIB を使用することで、SNMP マネージャは、オブ
ジェクト識別子（OID）をトラップで定義したイベント定
義にマッピングできます。
この処理の具体的な方法については、ご使用の SNMP マ
ネージャのドキュメントを参照してください。
ステップ 7
モニター対象の統計情報を確 MIB ブラウザを使用して PAN-OS MIB ファイルを開き、モ
認します。
ニター対象の統計情報に対応するオブジェクト ID（OID）
を確認します。たとえば、M-100 アプライアンスのログ収
集レートをモニターするとします。この場合は、MIB ブラ
ウ ザ を 使 用 し て、こ の 統 計 情 報 が PAN-LC-MIB の OID
1.3.6.1.4.1.25461.2.3.16.1.1.0 に対応することを確認できます。
ステップ 8
関心対象の OID をモニタリン この処理の具体的な方法については、ご使用の SNMP マ
グするように SNMP 管理ソフ ネージャのドキュメントを参照してください。
トウェアを設定します。
232
Panorama 管理者ガイド
Panorama の管理
Panorama の再起動またはシャットダウン
Panorama の再起動またはシャットダウン
再起動オプションでは、Panorama のグレースフル リスタートが開始されます。シャットダウン
では、システムが停止して電源がオフになります。Panorama を再起動するには、シャットダウ
ンした後で、システムの電源コードを手動で取り外してから再度取り付けます。
Panorama の再起動またはシャットダウン
1.
[Panorama] > [セットアップ] > [操作] の順に選択します。
2.
[デバイスの操作] セクションで、[Panorama の再起動] または [Panorama のシャットダウン] を選
択します。
Panorama 管理者ガイド
233
Panorama の診断ファイルの生成
Panorama の管理
Panorama の診断ファイルの生成
診断ファイルは、システム アクティビティのモニタリングや、Panorama の問題の潜在的な原因
を識別するのに役立ちます。Palo Alto Networks テクニカル サポートによる問題のトラブル
シューティングを支援するために、サポート担当者から診断ファイル（テクニカル サポート
ファイルやスタッツ ダンプ ファイル）を求められる場合があります。以下の手順では、診断
ファイルをダウンロードし、サポート ケースにアップロードする方法について説明します。
Panorama の診断ファイルの生成
1.
[Panorama] > [サポート] の順に選択します。
• [テクニカル サポート ファイルの生成] をクリックします。
• [スタッツ ダンプ ファイルの生成] をクリックします。
2.
ファイルをダウンロードしてコンピュータに保存します。
3.
ファイルをサポート ポータルのケースにアップロードします。
234
Panorama 管理者ガイド
Panorama の管理
Panorama のパスワード プロファイルおよび複雑性の設定
Panorama のパスワード プロファイルおよび複雑性の設定
ローカル管理者アカウントを保護するために、管理者がパスワードを変更したり、新規作成し
たりするときに適用されるパスワードの複雑性の要件を定義できます。個々のアカウントに適
用可能なパスワード プロファイルとは異なり、パスワードの複雑性ルールはファイアウォール
全体に影響し、すべてのパスワードに適用されます。
定期的なパスワードの更新を適用するには、パスワードの有効期間を定義するパスワード プロ
ファイルを作成します。
Panorama のパスワード プロファイルおよび複雑性の設定
ステップ 1
パスワード複雑性設定を設定 1.
します。
[Panorama ] > [セットアップ] > [管理] の順に選択し、
[パスワード複雑性設定] セクションを編集します。
2.
[有効] を選択します。
3.
[パスワード フォーマットの要件] を定義します。パス
ワードに含める必要のある大文字、小文字、数字、特
殊文字の要件を適用できます。
4.
アカウント ユーザー名がパスワードで使用されないよ
うにするには（またはその逆）、[ユーザー名を含むパ
スワードを禁止（逆順を含む）] を選択します。
5.
パスワードの [機能要件] を定義します。
管理者のパスワード プロファイルを設定している場
合、パスワード プロファイルで定義された値は、この
セクションで定義された値よりも優先されます。
Panorama 管理者ガイド
235
Panorama のパスワード プロファイルおよび複雑性の設定
Panorama の管理
Panorama のパスワード プロファイルおよび複雑性の設定（続き）
ステップ 2
パスワード プロファイルを作 1.
成します。
[Panorama] > [ パスワード プロファイル ] の順に選択
し、[追加] をクリックします。
複数のパスワード プロファイ 2.
ルを作成し、必要に応じて管
理者アカウントに適用してセ
キュリティを確保できます。
パスワード プロファイルの [ 名前 ] を入力し、以下を
定義します。
a. パスワード有効期限日数 : パスワードを変更する必要
のある頻度（日数）。
b. 失効の警告期間 : 管理者がパスワードのリマインダー
を受け取るまでの有効期限日数。
c. 失効後の猶予期間 : パスワードの失効後に管理者がシ
ステムにログインできる日数。
d. 失効後の管理者ログイン回数 : パスワードの失効後に
管理者がシステムにログインできる回数。
236
Panorama 管理者ガイド
Panorama の管理
M-100 アプライアンスの障害ディスクの置き換え
M-100 アプライアンスの障害ディスクの置き換え
M-100 アプライアンスのディスクに障害が発生した場合、そのディスクを置き換えて、RAID ペ
アで再設定する必要があります。これにより、RAID ペアのディスク間でデータのミラーリン
グと同期ができるようになります。
障害ディスクの置き換え
ステップ 1
新しいディスクを適切なドラ 障害ディスクを新しいディスクに置き換える手順は、
イブ ベイに設置します。
『M-100 ハードウェア リファレンス ガイド』を参照して
ください。
ステップ 2
RAID ペアのディスクをセット この例では、ディスク ベイ B1 のドライブを使用していま
す。
アップします。
1. ディスクを RAID ペアに追加する以下のコマンドを入
ドライブ上のデータのミラー
力し、プロンプトが表示されたら要求を確認します。
リングには、ドライブのデー
request system raid add B1
タ量に応じて数分から数時間
2. RAID 設定の進行状況をモニターし、そのディスクの
かかります。
RAID が有効になっていることを確認するには、以下
のコマンドを入力します。
show system raid detail
Panorama 管理者ガイド
237
Panorama バーチャル アプライアンスの仮想ディスクの置き換え
Panorama の管理
Panorama バーチャル アプライアンスの仮想ディスクの
置き換え
仮想ディスクを Panorama バーチャル アプライアンスに追加した後で、その仮想ディスクのサイ
ズを変更することはできません。Panorama バーチャル アプライアンスで許可されているログ ス
トレージの場所は 1 か所しかないため、ログ用のディスク スペースを追加または削減する必要
がある場合は、ESX(i) サーバーの仮想ディスクを置き換えてログ ストレージ容量を調整する必
要があります。
Panorama バーチャル アプライアンスの仮想ディスクの置き換え
ステップ 1
Panorama バーチャル アプライ 1.
アンスから仮想ディスクを取
り外す前にログをエクスポー 2.
トします。ディスクを取り外
すと、ディスクのログにアク 3.
セスできなくなります。
Panorama バーチャル アプライアンスの CLI にアクセス
します。
現在のディスク使用率を確認します。
admin@Panorama> show system logdb-quota
ログをエクスポートします。このコマンドの構文は以
下のとおりです。
admin@Panorama> scp export logdb to <user
account>@<IP of SCP server>: <directory path with
destination filename>
例:
admin@Panorama> scp export logdb to
[email protected]:/Panorama/log_file_exportMay2013
ファイル名を指定する必要があります。このコ
マンドにより、そのファイル名で .tar ファイル
が SCP サーバーに保存されます。ファイルはエ
クスポート プロセスで圧縮されるため、エクス
ポートされたファイルのサイズはディスク上の
サイズよりも小さくなります。
ステップ 2
238
仮想ディスクを置き換えます。 1.
Panorama バーチャル アプライアンスをパワーオフし
ます。
2.
Panorama バーチャル アプライアンスの設定を編集し、
必要な容量を備えた新しい仮想ディスクを追加しま
す。仮想ディスク タイプは IDE にする必要がありま
す。最大容量は 2 TB です。
3.
置き換える仮想ディスクを削除します。
Panorama 管理者ガイド
Panorama の管理
Panorama バーチャル アプライアンスの仮想ディスクの置き換え
Panorama バーチャル アプライアンスの仮想ディスクの置き換え（続き）
ステップ 3
ログを新しい仮想ディスクに 1.
インポートします。
Panorama バーチャル アプライアンスをパワーオンしま
す。再起動プロセスは数分かかる場合があり、「cache
data unavailable」というメッセージが画面に表示され
ます。
2.
Panorama バーチャル アプライアンスにログインします。
3.
[Panorama] > [セットアップ] > [管理] の順に選択し、
[ ロギングおよびレポート設定 ] セクションに変更した
ログ ストレージ容量が正確に表示されることを確認し
ます。
4.
Panorama の CLI を使用して、ログを新しい仮想ディス
クにインポートします。
admin@Panorama> scp import logdb from <user
account>@<IP of SCP server>: <directory path with
destination filename>
Panorama 管理者ガイド
239
Panorama バーチャル アプライアンスの仮想ディスクの置き換え
240
Panorama の管理
Panorama 管理者ガイド
トラブルシューティング
以下の各トピックで、Panorama の既存の問題について説明します。

Panorama システムの問題のトラブルシューティング

ログ ストレージと接続に関する問題のトラブルシューティング

RMA ファイアウォールの交換

テンプレート コミット エラーの診断

タスクの成否の確認
Panorama 管理者ガイド
241
Panorama システムの問題のトラブルシューティング
トラブルシューティング
Panorama システムの問題のトラブルシューティング

Panorama がサスペンド状態になっている場合の診断

ファイル システム整合性チェック モニター

ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理

Panorama HA デプロイ環境でのスプリット ブレインからの回復
Panorama がサスペンド状態になっている場合の診断
Panorama がサスペンド状態になっている場合は、以下の状態を確認します。

各 Panorama バーチャル アプライアンスのシリアル番号が一意であることを確認します。同じ
シリアル番号を使用して Panorama の複数のインスタンスを作成すると、同じシリアル番号
を使用するすべてのインスタンスがサスペンド状態になります。

1 つのピアの HA 優先度がプライマリとして設定され、他がセカンダリとして設定されてい
ることを確認します。両方のピアで同じ優先度が設定されていると、シリアル番号が高い
Panorama ピアがサスペンド状態になります。

両方の Panorama HA ピアが同じ Panorama バージョン（メジャーおよびマイナーのバージョン
番号）で実行されていることを確認します。
ファイル システム整合性チェック モニター
Panorama システム ファイルの破損を回避するため、Panorama では定期的にファイル システムの
整合性チェック（FSCK）が実行されます。このチェックは、再起動を 8 回行った後、または最
後の FSCK が実行されてから 90 日経過した後の再起動で実行されます。Panorama で FSCK が実
行されていると、FSCK が進行中であることを示す警告が Web インターフェイスおよび SSH ロ
グイン画面に表示されます。この処理が完了するまで、ログインできません。この処理が完了
する時間は、ストレージ システムのサイズによって異なり、Panorama にログインできるように
なるまで数時間かかることもあります。
FSCK の進捗状況を表示するには、Panorama へのコンソール アクセスをセットアップします。
242
Panorama 管理者ガイド
トラブルシューティング
Panorama システムの問題のトラブルシューティング
ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの
管理
Panorama では、ソフトウェア イメージおよびコンテンツ更新をダウンロード（または手動で
アップロード）して、ファイアウォールおよびログ コレクタ モードの M-100 アプライアンスの
ソフトウェア更新とコンテンツ更新を一元管理できます。「デバイス タイプ別のサポートされ
ている更新」に、これらのデバイスでサポートされている更新の一覧を示します。Panorama 自
体に格納されるアプリケーション、アプリケーションおよび脅威、アンチウイルス、WildFire の
更新も管理できます。
これらのイメージおよび更新を格納するために Panorama で使用可能な領域を、ユーザーが設定
することはできません。割り当て済みの領域の使用容量が 90% に達すると、新しいダウンロー
ド/アップロードを格納するための空き領域を確保する（格納されているイメージを削除する）
ように指示する警告が表示されます。
イメージの最大数は、Panorama に格納されるすべてのイメージおよび更新に適用されるグロー
バル設定です。この値は、CLI でのみ設定可能です。タイプごとのイメージ / 更新の最大数のデ
フォルト値は 5 です。タイプ別に異なる値を設定することはできません。
ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理
• Panorama に保存されるイメージの最大数を Panorama の CLI にアクセスして、以下のコマンドを
変更する。
入力します。
set max-num-images count x（ここで、x
は 2 ～ 64 の数
値です）
• Panorama に保存されるイメージ数を表示 以下の CLI コマンドを入力します。
する。
show max-num_images
• イメージを削除して Panorama のスペース 以下のコマンドを使用します。
を解放する。
• ファイル名またはバージョンでソフトウェア イメージ
を削除する場合 :
このタスクは、Web インターフェイスま
たは CLI で実行できます。
delete software image <filename>
delete software version <version_number>
• コンテンツ更新を削除する場合 :
delete content update <filename>
Panorama HA デプロイ環境でのスプリット ブレインからの回復
Panorama が高可用性（HA）セットアップで設定されている場合、管理対象ファイアウォールは
アクティブとパッシブの両方の Panorama HA ピアに接続されます。アクティブとパッシブの
Panorama ピア間の接続に障害が発生すると、パッシブ Panorama は、アクティブ ピアを引き継ぐ
前に、アクティブ ピアとパッシブ ピアの両方に接続されているファイアウォールが存在しない
かチェックします。両方のピアに接続されているファイアウォールが 1 台でも存在すると、
フェイルオーバーはトリガーされません。
Panorama 管理者ガイド
243
Panorama システムの問題のトラブルシューティング
トラブルシューティング
あまり発生することはありませんが、アクティブ ピアに接続されているファイアウォールの
セットと、パッシブ ピアに接続されているファイアウォールのセットがあり、両方のピアに接
続されているファイアウォールはない場合にフェイルオーバーがトリガーされることがありま
す。これはスプリット ブレインと呼ばれる現象です。スプリット ブレインが発生すると、以下
の状態になります。

どちらの Panorama ピアも、相手ピアの状態または HA ロールを認識しない。

両方の Panorama ピアがアクティブになり、それぞれ異なるファイアウォールのセットを管理
している。
スプリット ブレインを解決するには、ネットワークの問題をデバッグして、Panorama HA ピア
間の接続を復元します。
ただし、ピア間の接続を復元せずにファイアウォールの設定を変更する必要がある場合、いく
つかの方法があります。

両方の Panorama ピアに同じ設定変更を手動で追加します。これにより、リンクが再確立され
たときに設定が同期されます。

1 つの Panorama の場所でのみ設定を追加 / 変更する必要がある場合、Panorama ピア間のリン
クが再確立されたときに設定を変更して同期します（変更を行ったピアから同期を開始して
ください）。

各場所の接続されたファイアウォールでのみ設定を追加/変更する必要がある場合、各 Panorama
ピアで別々に設定を変更できます。ピアは切断されているため、複製は行われず、各ピア
は、それぞれ別個の（同期していない）設定ファイルを持つことになります。したがって、
接続の復元時に各ピアの設定の変更が失われないようにするために、設定が自動的に再同期
されないようにします。この問題を解決するには、各 Panorama ピアから設定をエクスポー
トして、外部の比較 / マージ ツールを使用して、手動で変更をマージします。変更が統合さ
れたら、統合された設定ファイルをプライマリ Panorama にインポートし、インポートされ
た設定ファイルをピアと同期できます。
244
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
ログ ストレージと接続に関する問題のトラブルシュー
ティング

Panorama ポートの使用状況の確認

コレクタ グループのログ保存エリアがゼロと表示される問題を解決する

ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する

Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する

非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する

M-100 アプライアンス RAID ペアのメタデータの再生成
Panorama ポートの使用状況の確認
Panorama が管理対象ファイアウォール、管理対象ログ コレクタ、および高可用性（HA）ピア
と通信できるようにするには、以下の表を使用して、ネットワークで開く必要のあるポートを
確認します。
Panorama 6.1 以降のリリースを実行している M-100 では、ログ収集およびコレクタ グループ
通信機能を、デフォルトの MGT インターフェイスではなく、Ethernet 1 または Ethernet 2 イ
ンターフェイスに割り当てることも可能です。以下の表に示したポートは、機能とその割り当
て先インターフェイスに関係なく適用されます。たとえば、ログ収集機能を MGT に、コレク
タ グループ通信を Ethernet 2 に割り当てると、MGT は 3978 番ポートを、Ethernet 2 は 28270
番ポートを使用します（Panorama バーチャル アプライアンスでは、以下のすべての機能につ
いて、MGT インターフェイスのみを使用できます）。
デバイスとの通信と通信方向の確立
使用ポート :
5.0 および 5.1
使用ポート : 内容
6.0 および 6.1
Panorama 間（HA）
28
28
方向 : 各ピアから他のピアに接続が
開始される
Panorama 間（HA）
28769 および
方向 : 各ピアから他のピアに接続が 28260（5.1）
開始される
28769 および
49160（5.0）
Panorama と管理対象ファイア
ウォール
方向 : ファイアウォールから開始さ
れる
Panorama 管理者ガイド
3978
HA 接続および同期（暗号化が
有効になっている場合）
28260 および HA 接続および同期（暗号化が
28769
有効になっていない場合）
3978
双方向接続で、ログはファイア
ウォールから Panorama に転送さ
れ、設 定 の変 更 は Panorama か
ら管理対象ファイアウォールに
プッシュされます。コンテキス
トの切り替えコマンドは、同じ
接続を使用して送信されます。
245
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング
デバイスとの通信と通信方向の確立
使用ポート :
5.0 および 5.1
使用ポート : 内容
6.0 および 6.1
Panorama とログ コレクタ
3978
3978
Panorama モードの Panorama の
デフォルトのログ コレクタ間
の通信、および DLC デプロイ
環境のログ コレクタとの通信
に使用されます。
方向: ログ コレクタから開始される
ログ コレクタ間
方向: 各ログ コレクタからコレクタ
グループ内の他のログ コレクタに
対して接続が開始される
管理およびログ収集/レポート。
49190
28270
ログ コレクタ間でのブロック
およびすべてのバイナリ デー
タの配信。
コレクタ グループのログ保存エリアがゼロと表示される問題を解決する
ディスク ペアがロギング用に有効になっていない場合、コレクタ グループのログ ストレージ容
量が 0MB と表示されることがあります。ログ コレクタを選択し、[Panorama ] > [管理対象コレク
タ] タブでディスク ペアをロギング用に有効にする必要があります。手順は、トピック「管理対象
コレクタの設定」のステップ 10 を参照してください。
ディスク ペアが有効であり、ログ ストレージに使用できることを確認するには、[Panorama ] >
[管理対象コレクタ] タブを選択し、ログ コレクタが [接続済み] と表示され、[設定状態 ] が [同期
中] になっていることを確認します。
ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後
にログを回復する
ログ コレクタ モードの M-100 でシステム障害が発生した場合、以下の手順に従って、交換
M-100 アプ ラ イア ン スに ロ グを 回 復し ま す。こ の 手順 は、ログ コ レク タ を管 理 して い る
Panorama 管理サーバーが、Panorama バーチャル アプライアンスまたは Panorama モードの M-100
アプライアンスのどちらであっても適用されます。
246
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する
ステップ 1
ログ コレクタ モードの新しい 1.
交換 M-100 アプライアンスで 2.
以下のタスクを実行します。
3.
4.
ステップ 2
M-100 アプライアンスのセットアップ。
Panorama の登録。
Panorama モードからログ コレクタ モードへの切り替
え。
必要に応じてライセンスを転送します。「RMA デバイ
スからのライセンスの転送方法」を参照してください。
ログ コレクタ モードの M-100 1. 「管理対象コレクタの設定」を参照するか、以下の
CLI コマンドを使用します。
アプライアンスを管理してい
る Panorama 管理サーバーで、
configure
set log-collector <log-collector_SN> deviceconfig
管理対象コレクタとして新し
system hostname <log-collector-hostname>
いログ コレクタを追加します。
exit
2.
ログ コレクタが追加され、Panorama に接続されている
ことを確認します。
show log-collector serial-number
<log-collector_SN>
復元プロセスのこの段階では、ディスク ペアが
無効として表示されます。状態が存在する / 使
用可能であることを確認します。
3.
変更を Panorama にコミットします。まだ変更をコレク
タ グループにコミットしないでください。
configure
commit
exit
Panorama 管理者ガイド
247
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング
ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する（続き）
ステップ 3
障害のある M-100 アプライアン 1.
スから RAID ディスクを取り外 2.
します。
M-100 アプライアンスをパワーオフします。
アプライアンスからディスクを取り外すときに、ディ
スク ペアの関連性を維持します。
スロット A のディスクは、交換デバイスのスロット B
に配置できますが、ペアは同じスロットで一緒に保持
されている必要があります。ペアが分離されると、
データが正常に復元されない可能性があります。
ステップ 4
ステップ 5
1.
ログ コレクタ モードの新しい M-100 アプライアンス
にディスクを挿入します。
各ディスク ペアのメタ 2.
デ ー タ を 生 成 す る と、
インデックスが再構築
さ れ ま す。そ の た め、
データ サイズによって
は、プ ロ セ ス の 完 了 に
長時間を要する場合が
あります。4 個の RAID
ペアを置き換える場
合、4 個の CLI セッショ
ン を 起 動 し、各 セ ッ
ションでコマンドを
3.
別 々 に 発 行 し て、す べ
てのペアのメタデータ
再生成プロセスを同時
に 完 了 で き ま す。詳 細
は、「M-100 アプライア
ン ス RAID ペ ア の メ タ
デ ー タ の 再 生 成」を 参
照してください。
移行するディスク ペアごとに、以下のコマンドを発行
し、新しいログ コレクタでディスク ペアを有効にし
ます。
移行用のディスクを準備し
ます。
ログを移行します。
request system raid add <slot> force no-format
例:
request system raid add A1 force no-format
request system raid add A2 force no-format
このコマンドの force および no-format オプション
は必須です。force オプションは、ディスク ペアを
この交換アプライアンスに関連付け、no-format オ
プションは、ドライブの再フォーマットを回避して、
ディスクに保存されているログを保持します。
各ディスク ペアのメタデータを生成します。
request metadata-regenerate slot <slot_number>
例:
request metadata-regenerate slot 1
ディスク ペアごとに、古いログ コレクタから新しいログ
コレクタへのログの移行を完了します。以下のコマンド
は、ディスク ペアを新しいアプライアンスに接続します。
request log-migration from <SN_of_old_log_collector>
old-disk-pair <log_disk_pair> to
<SN_of_new_log_collector> new-disk-pair
<log_disk_pair>
例:
request log-migration from 003001000010
old-disk-pair A to 00300100038 new-disk-pair A
248
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
ログ コレクタ モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する（続き）
ステップ 6
コレクタ グループを再設定し
ます。
1.
新しいログ コレクタをコレクタ グループのメンバー
として追加します。
configure
set log-collector-group <collector_group_name>
logfwd-setting collectors <SN_managed_collector>
2.
管理対象ファイアウォールによって使用される設定リ
ストを再定義します。管理対象ファイアウォールごと
に以下のコマンドを繰り返します。
set log collector-group <group_name>
logfwd-setting devices <device_serial_number>
例:
set log collector-group DC-Collector-Group
logfwd-setting devices 0030010110010
3.
障害のあるログ コレクタを Panorama 設定から削除し、
変更を Panorama にコミットします。
delete log-collector <old_serial>
commit
例:
delete log-collector 003001000010
commit
exit
4.
コレクタ グループの変更をコミットして、管理対象
ファイアウォールがログを新しいログ コレクタに送信
できるようにします。
commit-all log-collector-config
log-collector-group <collector_group_name>
例:
commit-all log-collector-config
log-collector-group DC-Collector-Group
ステップ 7
Panorama HA ピア間の設定を同 実行中の設定を Panorama HA ピアと同期するには、
期します。
[Dashboard] の [ 高可用性 ] ウィジットの [ ピアと同期 ] リン
クをクリックするか、以下の CLI コマンドを使用します。
request high-availability sync-to-remote
running-config
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にロ
グを回復する
Panorama が高可用性（HA）ペアで設定されている場合にのみ、Panorama モードの M-100 の
RAID ディスクからログを回復できます。M-100 アプライアンス システムに障害が発生した場
合、障害の発生した M-100 アプライアンスの RAID ディスクを交換 M-100 アプライアンスに転
送し、障害のあるアプライアンスに保存されていたログを回復できます。ディスクを別のアプ
ライアンスに移行できれば、ログ データへのアクセスを取り戻し、ログ クエリを再開してレ
ポートを生成できます。
このワークフローでは、M-100 アプライアンスが Panorama モードで導入されていて、HA で設
定されている以下のシナリオをカバーしています。
Panorama 管理者ガイド
249
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング

ペアの一方の Panorama が管理対象ログ コレクタとして設定され、管理対象ファイアウォー
ルからログを受信する。

両方の Panorama ピアが 1 つのコレクタ グループに属する管理対象ログ コレクタとなる（こ
れは推奨されるデプロイではありません）。

各 Panorama は管理対象コレクタとして設定され、それぞれ異なるコレクタ グループ（ログ コ
レクタ グループ 1 およびログ コレクタ グループ 2）に割り当てられる。
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する
ステップ 1
障害のある M-100 アプライアン 1.
ス か ら RAID ディ ス ク を 取 り 2.
外します。
M-100 アプライアンスをパワーオフします。
アプライアンスからディスクを取り外すときに、ディ
スク ペアをマークします。
スロット A のディスクは、交換デバイスのスロット B
に配置できますが、ペアは同じスロットで一緒に保持
されている必要があります。ペアが分離されると、
データが正常に復元されない可能性があります。
250
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する（続き）
ステップ 2
ステップ 3
新しい交換 M-100 アプライアン 1.
スで以下のタスクを実行し
2.
ます。
3.
移行用のディスクを準備し
ます。
Panorama の登録。
Panorama モードからログ コレクタ モードへの切り替
え。
4.
必要に応じてライセンスを転送します。「RMA デバイ
スからのライセンスの転送方法」を参照してください。
5.
置き換えるピアに合わせて HA の優先度の値を設定し
ます。詳細は「Panorama HA ペアの管理」を参照して
ください。
6.
HA が機能していることを確認します。
1.
新しい M-100 アプライアンスにディスクを挿入します。
2.
移行するディスク ペアごとに、以下のコマンドを発行
し、新しいログ コレクタでディスク ペアを有効にし
ます。
各ディスク ペアのメタ
デ ー タ を 生 成 す る と、
インデックスが再構築
さ れ ま す。そ の た め、
データ サイズによって
は、プ ロ セ ス の 完 了 に
長時間を要する場合が
あります。4 個の RAID
ペアを置き換える場
合、4 個の CLI セッショ
ン を 起 動 し、各 セ ッ
3.
ションでコマンドを
別 々 に 発 行 し て、す べ
てのペアのメタデータ
再生成プロセスを同時
に 完 了 で き ま す。詳 細
は、「M-100 アプライア
ン ス RAID ペ ア の メ タ
デ ー タ の 再 生 成」を 参
照してください。
ステップ 4
M-100 アプライアンスのセットアップ。
request system raid add <slot> force no-format
例:
request system raid add A1 force no-format
request system raid add A2 force no-format
このコマンドの force および no-format オプション
は必須です。force オプションは、ディスク ペアを
この交換アプライアンスに関連付け、no-format オ
プションは、ドライブの再フォーマットを回避して、
ディスクに保存されているログを保持します。
各ディスク ペアのメタデータを生成します。
request metadata-regenerate slot <slot_number>
例:
request metadata-regenerate slot 1
他の Panorama ピアからこの交換 実行中の設定を Panorama HA ピアと同期するには、[Dashboard]
Panorama に設定を同期します。 の [ 高可用性 ] ウィジットの [ ピアと同期 ] リンクをクリッ
クするか、以下の CLI コマンドを使用します。
request high-availability sync-to-remote
running-config
Panorama 管理者ガイド
251
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する（続き）
ステップ 5
新しいログ コレクタを管理対象 1.
コレクタとして追加します。
「管理対象コレクタの設定」を参照するか、以下の
CLI コマンドを使用します。
configure
まだ管理対象コレクタのディ
set log-collector <log-collector_SN> deviceconfig
スクを有効にしないでくださ system hostname <log-collector-hostname>
い。こ の デ ィ ス ク は、ロ グ が
exit
正常に移行されたときに自動 2. ログ コレクタが追加され、Panorama に接続されている
ことを確認します。
的に有効になります。
show log-collector serial-number
各ディスク ペアのメタ <log-collector_SN>
デ ー タ を 生 成 す る と、
復元プロセスのこの段階では、ディスク ペアが
インデックスが再構築
無効として表示されます。状態が存在する / 使
さ れ ま す。そ の た め、
用可能であることを確認します。
データ サイズによって 3. 変更を Panorama にコミットします。まだ変更をコレク
は、プロセスの完了に長
タ グループにコミットしないでください。
時間を要する場合があり
configure
commit
ま す。「テ ン プ レ ー ト
exit
コミット エラーの診
断」を 参 照 し て く だ さ
い。
ステップ 6
ログを移行します。
1.
ディスク ペアごとに、コマンドを発行して、新しいア
プライアンスへのログの移行を完了します。
request log-migration from
<SN_of_old_log_collector> old-disk-pair
<log_disk_pair> to <SN_of_new_log_collector>
new-disk-pair <log_disk_pair>
例:
request log-migration from 003001000010
old-disk-pair A to 00300100038 new-disk-pair A
2.
変更を Panorama にコミットします。
configure
commit
exit
252
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
Panorama モードの M-100 アプライアンスで障害 /RMA が発生した後にログを回復する（続き）
ステップ 7
コレクタ グループを再設定し
ます。
1.
管理対象コレクタをコレクタ グループのメンバーとし
て追加します。
set log-collector-group <collector_group_name>
logfwd-setting collectors <SN_managed_collector>
古いログ コレクタは、まだ設定から削除していな
いため、メンバーのリストに表示されています。
2.
管理対象ファイアウォールがログの転送に使用する設
定リストを再定義します。
set log collector-group <group_name>
logfwd-setting devices <device_serial_number>
3.
コレクタ グループから障害の発生したログ コレクタを
削除します。
delete log collector-group <group_name>
logfwd-setting collectors <old_serial>
例:
delete log collector-group DC-Collector-Group
logfwd-setting collectors 003001000010
4.
変更を Panorama にコミットします。
5.
コレクタ グループの変更をコミットして、管理対象
ファイアウォールがログを新しいログ コレクタに送信
できるようにします。
commit-all log-collector-config
log-collector-group <collector_group_name>
例:
commit-all log-collector-config
log-collector-group DC-Collector-Group
ステップ 8
Panorama HA ピア間の実行中の 1.
設定を同期します。
実行中の設定を Panorama HA ピアと同期するには、
[Dashboard] の [高可用性] ウィジットの [ピアと同期] リン
クをクリックするか、手動による同期を開始します。
2.
アクティブ - プライマリ Panorama ピアで、設定が同期
されていることを確認します。
Panorama 管理者ガイド
253
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング
非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復
する
1 つ以上の専用のログ コレクタを管理している Panorama サーバーでシステム障害が発生し、
Panorama サーバーが HA 設定で導入されていない場合、この手順を使用して、交換 Panorama の
設定を復元し、管理対象ログ コレクタのログへのアクセスを取り戻します。
Panorama は、データを管理するために、ログ コレクタにログを保存するためのセグメントおよ
びパーティションをマップするリング ファイルを保持します。このリング ファイルは、M-100
アプライアンスの内部 SSD、またはログ コレクタを管理する Panorama バーチャル アプライアン
スの内部ディスクに保存されます。Panorama が HA で設定されていない場合、システム障害が
発生すると、リング ファイルは自動的に回復できません。そのため、Panorama を置き換える場
合、管理対象コレクタのログにアクセスするには、リング ファイルを復元する必要があります。
ベスト プラクティスとして、HA 設定で Panorama をデプロイすることをお勧めします。HA で
デプロイすると、ログ コレクタを管理するプライマリ Panorama ピアによって、リング ファイ
ルが内部ストレージ（M-100 アプライアンスの SSD または Panorama 仮想マシンの内部ディス
ク）に保存されます。このリング ファイルは自動的にセカンダリ /パッシブ Panorama ピアに同
期され、管理対象ログ コレクタのログへのアクセスは自動的に維持されます。
サポート ポータルで必要に応じて新しいアプライアンスの登録とライセンスの転送を行い
（「RMA デバイスからライセンスを転送する方法」を参照）、初期設定を実行し、交換
Panorama でライセンスを取得したら、以下のワークフローを使用します。
非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する
ステップ 1
古い Panorama から交換 Panorama 古い Panorama サーバーから新しいサーバーに設定を復元
します。
に設定を復元します。
1. [Panorama] > [セットアップ] > [操作] の順に選択し
このタスクでは、システム障害
ます。
から回復するために、推奨事
項に従って Panorama 設定をバッ 2. [名前付き Panorama 設定スナップショットのインポー
ト ]、[ 参照 ] の順に選択して、保存したファイルを探
クアップおよびエクスポート
し、[OK] をクリックしてインポートします。
していることを前提としてい
ます。
ステップ 2
254
3.
[名前付き Panorama 設定スナップショットのロード]
を選択し、インポートしたバージョンを選択します。
4.
[コミット] をクリックし、[コミット タイプ] で
[Panorama] を選択します。[OK] をクリックします。
管理対象コレクタへの接続が [Panorama] > [ 管理対象コレクタ ] の順に選択し、管理対
復元されていることを確認し 象コレクタが接続されていることを確認します。
ます。
管 理 対 象 コ レ ク タ が 表 示 さ れ な い 場 合 は、最 新 の
Panorama 設定がないことを示しています。管理対象ログ
コレクタ / コレクタ グループ設定が Panorama に実装され
る前に、設定スナップショットが取得されています。管
理対象ログ コレクタ / コレクタ グループを再設定する場
合、ステップ 4 を参照してください。
Panorama 管理者ガイド
トラブルシューティング
ログ ストレージと接続に関する問題のトラブルシューティング
非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する（続き）
ステップ 3
リング ファイルを取得して、 1.
管理対象コレクタに保存され 2.
ているログへのアクセスを復
元します。
Panorama で CLI にアクセスします。
リング ファイルを取得するには、以下のコマンドを入
力します。
request fetch ring from log-collector
<serial_number>
例:
request fetch ring from log-collector
009201000343
3.
ステップ 4
（Panorama に管理対象コレクタ 1.
設定がない場合にのみ必要に
なります。）
変更をコレクタ グループにコミットします。
ログの最後のエントリを表示するには、管理対象コレ
クタで CLI にアクセスし、以下のコマンドを実行しま
す。これらのコマンドで、Panorama で定義する必要の
ある管理対象コレクタの名前を確認できます。
a。 request fetch ring from log-collector <serial_number>
以下のエラーが表示されます。
Server error: Failed to fetch ring info from
<serial_number>
b。 less mp-log ms.log
以下のエラーが表示されます。
Dec04 11:07:08 Error:
pan_cms_convert_resp_ring_to_file(pan_ops_cms.c:3719):
Current configuration does not contain group
CA-Collector-Group
このエラー メッセージは、CA-Collector-Group とい
う名前のコレクタ グループが欠落していることを
示します。
2.
Panorama でこのコレクタ グループを作成し、このコレ
クタ グループのメンバーとして管理対象コレクタを追
加します。
set log-collector-group CA-Collector-Group
set log-collector-group CA-Collector-Group
logfwd-setting collector 009201000343
3.
変更を Panorama にコミットします。この時点では、コ
レクタ グループにコミットしないでください。
4.
以下のコマンドを使用して、ログ コレクタからリング
ファイルを取得します。
request fetch ring from log-collector
<serial_number>
5.
変更をコレクタ グループにコミットします。
commit-all log-collector-config
log-collector-group <log_collector_group_name>
Panorama 管理者ガイド
255
ログ ストレージと接続に関する問題のトラブルシューティング
トラブルシューティング
M-100 アプライアンス RAID ペアのメタデータの再生成
M-100 でシステム障害が発生した場合、アプライアンス間で物理的にディスクを置き換え、必
要に応じてメタデータを再生成する必要があります。メタデータは、ディスクのログを特定す
るために必要になります。ユーザーがログ クエリを発行した場合、クエリはこのメタデータを
参照して、要求されたログ データにアクセスします。
M-100 アプライアンスで設定されたすべての RAID ディスク ペアでこのコマンドを発行する必
要があります。メタデータの再生成に必要な時間は、RAID ディスクのサイズによって異なり
ます。メタデータの再生成には、100 GB ごとに平均で 1 時間かかります。コマンドを実行する
場合、コマンドが完全に実行されるまで、現在の CLI セッションがロックアップされます。そ
のため、4 個の RAID ペアを置き換える場合、4 個の CLI セッションを起動し、各セッションで
コマンドを別々に発行して、すべてのペア/スロットでメタデータの再生成プロセスを同時に完
了できます（4 TB のログ データで約 10 時間）。
メタデータの再生成中は、これらの RAID ディスクが属するコレクタ グループはまだ使用でき
ず、ディスク ペアはロギングおよびレポート操作（書き込み / クエリ）に使用できません。た
だし、他のタスク（新しいファイアウォール接続の処理や管理対象ファイアウォールの設定変
更の管理など）は実行できます。この Panorama で管理されている他のすべてのコレクタ グルー
プは、この RMA プロセスの一部ではないため、割り当てられたロギングおよびレポート機能を
通常どおり実行できます。
256
Panorama 管理者ガイド
トラブルシューティング
RMA ファイアウォールの交換
RMA ファイアウォールの交換
商品返品保証（RMA）付きの管理対象ファイアウォールの設定復元に必要な作業を最小限にす
るために、Panorama で古いファイアウォールのシリアル番号を新規 / 交換ファイアウォールの
シリアル番号と置き換えることができます。その後、交換ファイアウォールで設定を復元する
には、以前に生成してファイアウォールからエクスポートしたファイアウォール状態をイン
ポートするか、Panorama を使用して PAN-OS v5.0 以降のバージョンを実行する管理対象ファイ
アウォールの部分的なデバイス状態を生成します。シリアル番号を置き換えてデバイス状態を
インポートすることで、Panorama を使用したファイアウォールの管理を再開できます。

ファイアウォールの部分的なデバイス状態の生成

RMA ファイアウォール交換の前準備

交換後のファイアウォール設定の復元
ファイアウォールの部分的なデバイス状態の生成
Panorama では、部分的なデバイス状態を作成する際、Large Scale VPN（LSVPN）のセットアップ
の若干の例外を除き、管理対象ファイアウォールの設定を複製します。部分的なデバイス状態
は、管理対象ファイアウォールの設定の 2 つの側面を組み合わせて作成します。

Panorama が中央管理する設定 — Panorama は、共有ポリシーとテンプレートのスナップショッ
トを保持しており、これをファイアウォールにプッシュします。

ファイアウォール側のローカル設定 — 設定変更がコミットされると、各ファイアウォールは
ローカル設定ファイルのコピーを Panorama に送信します。このファイルは Panorama に保存
され、部分的なデバイス状態のバンドルをまとめるときに使用されます。
LSVPN セットアップでは、Panorama で生成する部分的なデバイス状態のバンドルは、ファイ
アウォールからのエクスポート（[Device] > [セットアップ] > [操作] の順に選択し、[デバ
イス状態のエクスポート] をクリック）によって生成されるバージョンとは異なります。手
動でデバイス状態のエクスポートを実行したか、XML API スクリプトでファイルをリモート
サーバーにエクスポートするようにスケジュール設定した場合、エクスポートされたデバイス
状態をファイアウォール交換ワークフローで使用できます。
デバイス状態をエクスポートしていない場合、ワークフローで生成するデバイス状態には、証
明書の詳細や登録済みファイアウォールなど、ダイナミック設定情報は含まれません。この設
定情報は、LSVPN ポータルとして機能するファイアウォールの完全な設定を復元する場合に
必要になります。詳細は「RMA ファイアウォール交換の前準備」を参照してください。
デバイス状態は Panorama に保存されず、「交換後のファイアウォール設定の復元」に挙げた
CLI コマンドを使用して要求されると生成されます。
Panorama 管理者ガイド
257
RMA ファイアウォールの交換
トラブルシューティング
RMA ファイアウォール交換の前準備

管理対象ファイアウォール（交換後）の PAN-OS バージョンは 5.0.4 以降である必要がありま
す。Panorama は、これより古い PAN-OS バージョンを実行するファイアウォールのデバイス
状態を生成できません。5.0.4 より前の PAN-OS バージョンを実行しているファイアウォール
の設定を復元する必要がある場合は、記事「Configuration Recovery with Panorama（Panorama に
よる設定の回復）」を参照してください。

古いファイアウォールについて、以下の詳細事項を記録します。

–
シリアル番号 — ライセンスを古いファイアウォールから交換ファイアウォールに転送す
るには、サポート ポータルにシリアル番号を入力する必要があります。古いシリアル番
号へのすべての参照を、交換ファイアウォールのシリアル番号に置き換えるために、こ
の情報を Panorama にも入力する必要があります。
–
（推奨）PAN-OS バージョンとコンテンツ データベース バージョン — 同じバージョンの
ソフトウェアおよびコンテンツ データベース（URL データベース ベンダーを含む）を
インストールすると、交換ファイアウォールに同じ状態を作成できます。コンテンツ
データベースの最新バージョンをインストールする場合は、データベースへの更新と追
加による差異がある可能性があります。ファイアウォールにインストールされている
バージョンを確認するには、Panorama に保存されたファイアウォール システム ログに
アクセスします。
交換ファイアウォールのデプロイを準備します。デバイス状態を一括インポートして設定を
復元する間に、以下の手順を実行する必要があります。
–
交換ファイアウォールが同じモデルで、操作機能も同じであることを確認します。マル
チ仮想システムの有効化、ジャンボ フレームのサポート、CC または FIPS モード操作へ
の対応が必要かどうか、操作機能を検討します。
–
ネットワーク アクセスを設定し、ライセンスを転送して、適切な PAN-OS バージョンと
コンテンツ データベース バージョンをインストールします。

このファイアウォール交換プロセスを完了するには、Panorama CLI を使用する必要がありま
す。この CLI ベースのワークフローを使用できるのは、スーパーユーザーと Panorama 管理
ユーザー ロールです。

LSVPN 設定があり、サテライト デバイスまたは LSVPN ポータルとして導入されている Palo
Alto Networks ファイアウォールを置き換える場合、LSVPN 接続の復元に必要なダイナミック
設定情報は、Panorama で生成された部分的なデバイス状態を復元するときには使用できませ
ん。推奨事項に従って LSVPN 設定のファイアウォールのデバイス状態を頻繁に生成してエ
クスポートしている場合は、Panorama でデバイス状態を生成するのではなく、ファイア
ウォール自体から以前にエクスポートしたデバイス状態を使用します。
ファイアウォールから手動でデバイス状態をエクスポートしたことがなく、Panorama で部分的
なデバイス状態を生成する必要がある場合、ダイナミック設定が欠落しているとファイア
ウォール交換プロセスに以下のような影響があります。
258
Panorama 管理者ガイド
トラブルシューティング
RMA ファイアウォールの交換
–
交換するファイアウォールがポータル デバイスで、サテライト デバイスのシリアル番
号が明示的に設定されている場合（[Network] > [GlobalProtect] > [ポータル] > [サテライ
ト設定 ]）、ファイアウォール設定を復元するときに、ダイナミック設定が欠落していて
も、ポータル ファイアウォールはサテライト デバイスを正常に認証できます。認証が
成功するとダイナミック設定情報が入力され、LSVPN 接続が回復します。
–
サテライト ファイアウォールを交換する場合、サテライト ファイアウォールがポータル
に接続して認証を受けることはできません。この接続の失敗は、シリアル番号がファイ
アウォールに明示的に設定されていないか（[Network] > [GlobalProtect] > [ポータル] >
[サテライト設定]）、シリアル番号が明示的に設定されていても、交換ファイアウォール
のシリアル番号が古いファイアウォールのシリアル番号と一致しないために発生しま
す。接続を復元するには、デバイス状態を一括インポートした後に、サテライト管理者
がファイアウォールにログインし、認証情報（ユーザー名とパスワード）を入力して
ポータルの認証を受ける必要があります。この認証が行われると、LSVPN 接続に必要な
ダイナミック設定がポータルに生成されます。
ただし、ファイアウォールが高可用性設定で構成されていた場合、設定を復元した後、ファ
イアウォールは実行中の設定をピアと自動的に同期して、シームレスに機能するために必要
な最新のダイナミック設定を取得します。
交換後のファイアウォール設定の復元
交換後のファイアウォール設定の復元
新しいファイアウォールでのタスク :
ステップ 1
より合理化されたワークフローを実行するには、CLI を使
用します。
初 期 設 定 を 実 行 し、ネ ッ ト シリアル ポート接続か SSH 接続を使用して、IP アドレス
ワーク接続を確認します。
と DNS サーバーの IP アドレスを追加し、ファイアウォー
ルが Palo Alto Networks 更新サーバーにアクセスできること
を確認します。
詳細は、『Panorama 管理者ガイド』を参照してください。
ステップ 2
ステップ 3
（任 意）操 作 モ ー ド を 古 い 1.
ファイアウォールの操作モー
ドと同じになるように設定し
2.
ます。
こ の タ ス ク に は、シ リ ア ル
ポート接続が必要です。
3.
ライセンスを取得します。
以下の CLI コマンドを入力して、ファイアウォールの
メンテナンス モードにアクセスします。
debug system maintenance-mode
管理パーティションで起動するには、起動シーケンス
中に「maint」と入力します。
メイン メニューから、操作モードとして [Set FIPS
Mode（FIPS モードの設定）] または [Set CCEAL
4 Mode（CCEAL 4 の設定）] を選択します。
ライセンスを取得するには、以下のコマンドを入力します。
request license fetch
Panorama 管理者ガイド
259
RMA ファイアウォールの交換
トラブルシューティング
交換後のファイアウォール設定の復元（続き）
ステップ 4
（任 意）新 し い フ ァ イ ア ファイアウォール設定に関連するコマンドを入力します。
set system setting multi-vsys on
ウォールの操作状態を古いデ
set system setting jumbo-frame on
バイスの操作状態と同じにな
るように設定します。たとえ
ば、古いファイアウォールで
マルチ仮想システム（マルチ
-vsys）機能が有効だった場合
は、マルチ -vsys 機能を有効に
します。
ステップ 5
ファイアウォールの PAN-OS
以下のコマンドを入力します。
バージョンをアップグレード 1. コンテンツ データベース バージョンをアップグレー
ドする。
します。
request content upgrade download <xxx-xxxx>
古いファイアウォールにイン
2. ダウンロードしたコンテンツ データベース バージョ
ストールされていたものと同
ンをインストールする。
じバージョンの OS およびコン
request content upgrade install version
テンツ データベースにアップ <xxx-xxxx>
グレードする必要があります。 3. PAN-OS ソフトウェア バージョンをアップグレードす
る。
request system software download version 5.x.x
4.
ダウンロードしたコンテンツ データベース バージョ
ンをインストールする。
request system software install version 5.x.x
260
Panorama 管理者ガイド
トラブルシューティング
RMA ファイアウォールの交換
交換後のファイアウォール設定の復元（続き）
Panorama CLI でのタスク :
ステップ 6
これらのタスクは、Panorama Web インターフェイスでは実
行できません。
1.
Panorama で、古いファイア
ウォールのシリアル番号を新
しい交換ファイアウォールの 2.
シリアル番号で置き換えます。
操作モードで以下のコマンドを入力します。
Panorama でシリアル番号を置き 3.
換えることで、新しいファイ
アウォール上に設定を復元し
た後、そのファイアウォールか
ら Panorama に接続できます。
設定モードを終了します。
replace device old <old SN#> new <new SN#>
操作モードに切り替え、変更をコミットします。
configure
commit
exit
（ファイアウォールから手動でデバイス状 以下のいずれかのコマンドを入力します。
scp export device-state device <new serial#> to
態をエクスポートした場合は、このステッ
<login> @ <serverIP>: <path>
プを省略してください）。
または
ステップ 7 SCP または TFTP を使用して、
tftp export device-state device <new serial#> to
デバイス状態をコンピュータ <login> @ <serverIP>: <path>
に一括エクスポートします。
エクスポート コマンドは、デ
バイス状態バンドルを tar 圧縮
ファイルとして生成し、指定
された場所にエクスポートし
ま す。こ の デ バ イ ス 状 態 に
は、LSVPN ダイナミック設定
（サテライト情報と証明書の
詳細）は含まれません。
Panorama 管理者ガイド
261
RMA ファイアウォールの交換
トラブルシューティング
交換後のファイアウォール設定の復元（続き）
新しいファイアウォールでのタスク :
ステップ 8
デバイス状態をインポートし 1.
て、変更をファイアウォール
にコミットします。
2.
Panorama でのタスク :
ステップ 9
以下のタスクは、ファイアウォール Web インターフェイ
スを使用して実行できます。
ファイアウォールの Web インターフェイスにアクセス
します。
[Device] > [セットアップ] > [操作] の順に選択し、[設定
の管理] セクションの [デバイス状態のインポート] リン
クをクリックします。
3.
ファイルを参照して見つけ、[OK] をクリックします。
4.
[ コミット ] をクリックして、ファイアウォールの実行
中の設定に変更を保存します。
5.
復元されたデバイス状態に Panorama がプッシュしたポ
リシーとオブジェクトへの参照が含まれていることを
確認するには、デバイス名の横に緑の小さいアイコン
が表示されているかどうかチェックします。
これで、Panorama Web インターフェイスを使用して、交換
ファイアウォールにアクセスして管理できるようになりま
した。
ファイアウォールの設定が正 1.
常に復元されたことを確認し
ます。
2.
Panorama Web インターフェイスにアクセスして、
[Panorama] > [管理対象デバイス] の順に選択します。
3.
ファイアウォールを Panorama と同期するには、[コミッ
ト] をクリックして、[コミット タイプ] として [デバイ
ス グループ ] を選択してから、ファイアウォールが属
するデバイス グループを選択し、[デバイスおよびネッ
トワーク テンプレートを含める] チェック ボックスを
オンにして、[OK] をクリックします。
交換ファイアウォールの [接続済み] 列にチェック マー
ク アイコンが表示されていることを確認します。
ファイアウォールを交換した後、古いファイアウォールが機能していたときから、交換ファイ
アウォールのインストール後までの期間についてレポートを生成する必要がある場合、それぞ
れのファイアウォールのシリアル番号について別個のクエリを生成する必要があります。これ
は、Panorama のシリアル番号を置き換えても、ログの情報は上書きされないためです。
262
Panorama 管理者ガイド
トラブルシューティング
テンプレート コミット エラーの診断
テンプレート コミット エラーの診断
以下の理由により、テンプレートのコミットに失敗することがあります。

互換性の不一致 : テンプレートの設定時には、複数の仮想システム、VPN モード、操作モー
ドの各オプションを使用できます。
–
複数の仮想システム機能に対応している（[仮想システム] チェック ボックスがオンになっ
ている）場合に、複数の仮想システム機能に非対応であるか、同機能が有効になってい
ないファイアウォールにテンプレートをプッシュすると、テンプレートのコミットに失
敗します。
このエラーを解決するには、[Panorama] > [テンプレート] の順に選択し、編集するテン
プレートの名前をクリックして、[仮想システム] チェック ボックスをオフにします。
–
VPN 設定を無効にするようハード コードされているファイアウォールに、VPN 関連の
設定オプションをプッシュする場合。
このエラーを解決するには、[Panorama] > [テンプレート] の順に選択し、編集するテン
プレートの名前をクリックして、[VPN 無効モード] チェック ボックスをオンにします。
–
ファイアウォールの操作モードがテンプレートの操作モードと異なる場合。たとえば、
管理対象ファイアウォールで FIPS モードが有効になっていても、テンプレートでは標
準モードが有効になっている場合など。
このエラーを解決するには、[Panorama] > [テンプレート] の順に選択し、編集するテン
プレートの名前をクリックして、[操作モード] の選択内容が正しいかどうか確認します。

管理対象ファイアウォールで、Panorama からのテンプレートおよびデバイス グループの変
更の受信が有効になっていない。これは、テンプレートおよびデバイス グループ設定の変更
を受信する機能がファイアウォールで無効になっている場合に発生します。
エラーを解決するには、ファイアウォールの Web インターフェイスにアクセスし、[Device] >
[ セットアップ ] の順に選択して、[Panorama 設定 ] セクションで、[ デバイスとネットワーク テ
ンプレートを有効にする] および [Panorama ポリシーとオブジェクトを有効にする] チェック
ボックスをオンにします。
Panorama 管理者ガイド
263
タスクの成否の確認
トラブルシューティング
タスクの成否の確認
Panorama Web インターフェイスの右下隅にある [ タスク マネージャ] アイコン
で、タスク
の成否を確認できます。また、問題のデバッグに役立つ詳細メッセージも表示されます。詳細
は、「Panorama のタスク完了履歴の表示」を参照してください。
264
Panorama 管理者ガイド

OZASAHAYASHIのオープニング展覧会では、絵画、ドローイング、彫刻

詳細はこちらをご確認ください。

Document 7399533

PIEMONTE Sogegross Pam /Panorama

全 全天球パ 業務提携 パノラマ

（全天球パノラマ）動画撮影システムにおける VideoStitch 社（仏）

企画競争実施の公示

『QBiC Panorama X』発売に関するお知らせ