「PALallax(OSS版)」でよくいただくご質問についてまとめています。
※随時更新していきます
記載されていないご質問については、お問い合せフォームからお願いいたします。
目次
機能
PALallaxはエーピーコミュニケーションズ(当社)に情報を送信しますか?
いいえ。情報を当社に送ることはありません。
※初期リリース時は、脅威ログを送信する仕様でしたが仕様を変更いたしました
ログ管理
PALallaxで受信したSyslogはどこに保存されますか?
以下のディレクトリに保存されます。
/var/log/PALallax/
ファイル名は以下です。
PALallax_local6_palo.log
同じディレクトリにある以下のファイルは、PALallaxの動作上必要なものですので、削除・編集はしないようにお願いします。
PALallax_local6_palo.pos
ログは何世代保存されますか?変更することは可能ですか?
ログ(PALallax_local6_palo.log)は30世代保存されます。
※ローテートは1日1回実施されます
世代数を変更するには、以下のファイルの「rotate」の値を変更して下さい。
ファイル:
/etc/logrotate.d/PALallax_pa_log
/var/log/PALallax/PALallax_local6_palo.log {
compress
missingok
notifempty
daily
rotate 30
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
データベースはどこに保存されますか?
以下のディレクトリ配下に保存されます。
/var/lib/elasticsearch/PALallax/
「/var」配下は、時間の経過とともに使用する容量が増えていきますので、「/root」等とはパーティションは分けていただくことを推奨しています。
データベースの内容を期間を指定して削除できますか?
以下のページをご覧ください。
ログフォーマット
データベースのフィールド名について教えてください。
データベースで使用しているフィールド名は、ファイアウォールのSyslogフォーマットと同じ名称を使用しています。
例:
Trafficログの"送信元IPアドレス"は、Syslogフォーマットの場合”src”となり、データベース上でも”src”となります。
Syslogフォーマットの詳細は、パロアルトネットワークス次世代ファイアウォールのAdminGuideをご覧ください。
パフォーマンス
PALallaxの性能参考値はありますか?
弊社検証環境での値は以下になります。
※ログの取り込みに関する性能参考値
環境
PALallaxバージョン: 2.0.2
ハードウェア:※仮想基盤
・CPU:4vCPU ※Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz
・Mem:8GiB
・Storage:250GiB (SSD)
検証内容
負荷サーバからSYSLOG (TCP)をPALallax宛に送信。
PALallaxのデータベースへの書き込み遅延と、ログ欠損率を確認する。
※送信対象のログは、実際のファイアウォールのフォーマットと同一
送信ログレート:1,000 log/sec ※平均
合計ログ数 :28,000,000 log
ログ送信時間 :連続8時間
※SYSLOG送信レートの目安は以下をご参照下さい
ファイアウォールから送信されるSYSLOG数の目安はありますか
結果
PALallaxデータベース書き込み遅延:1秒
※SYSLOGを受信してから、データベースへ書き込みするまでの時間
(一番最後に受信したログの受信、書き込み時間で計測)
ログ欠損率:0%
※全てのログ(28,000,000 log)を書き込み完了
ファイアウォールから送信されるSYSLOG数の目安はありますか?
弊社の環境では、以下の値となりました。
環境
ハードウェア:PA-200
OSバージョン:PAN-OS 6.1.11
構成:ユーザ数40名程度のゲートウェイに設置
取得対象ログ:
・全トラフィックログ
・Threat Prevention関連ログ
・URLフィルタ(PAN-DB)ログ ※デフォルトプロファイルを使用
・WildFireログ
SYSLOG数目安
40 log/sec程度
作業/保守/サポート依頼
PALallaxの構築を依頼できますか?
PALallax単体での構築作業は承っておりません。
パロアルトネットワークス社 次世代ファイアウォールの構築作業の追加作業としては依頼可能です。
次世代ファイアウォール+PALallaxの構築のご依頼は以下よりお問い合わせをお願いいたします。
PALallaxの保守・サポートを依頼できますか?
OSSでの提供のため、基本的に保守・サポートは行っておりません。
サポート業務を行う部署も無いため、仕様や不具合でお問い合わせいただいても対応できかねる場合があります。