Las siguientes ilustraciones muestran Panorama en una implementación de recopilación de logs centralizada. En estos ejemplos, el servidor de gestión de Panorama consta de dos dispositivos de la serie M en modo Panorama que se implementan en una configuración de alta disponibilidad (high availability, HA) activa/ pasiva. Los cortafuegos envían los logs al recopilador de logs local predeterminado (preconfigurado) en cada dispositivo de la serie M de Panorama. Esta es la implementación recomendada si los cortafuegos generan hasta 10.000 logs por segundo. (Para obtener detalles sobre las opciones de implementación, consulte Planificación de una implementación de recopilación de logs).
Si asignará más de un recopilador de logs a un grupo de recopiladores, tenga en cuenta los
requisitos, riesgos y mitigaciones recomendadas asociadas.
Tras realizar esta implementación, si la tasa de logs supera los 10 000 logs por segundo, se recomienda que añada recopiladores de logs dedicados (dispositivos de la serie M en el modo de recopilación de logs) como se describe en Implementación de Panorama
cortafuegos desde los recopiladores de logs predeterminados a los recopiladores de logs dedicados.
Figure 8: Ilustración: Recopilador de logs sencillo predeterminado por grupo de recopiladores
Figure 9: Ilustración: Varios recopiladores de logs predeterminados por grupo de recopiladores
Siga estos pasos para implementar Panorama con recopiladores de logs predeterminados. Omita cualquier paso que ya haya realizado (por ejemplo, la configuración inicial).
STEP 1 |Realice la configuración inicial de cada dispositivo de la serie M.
1. Monte en rack el dispositivo de la serie M. Consulte la Guía de referencia de hardware de M-100 o M-500 para obtener instrucciones.
2. Lleve a cabo la configuración inicial del dispositivo de la serie M.
Para reducir la carga de tráfico en la interfaz de gestión (management, MGT) y para mejorar la seguridad del tráfico de gestión, Palo Alto Networks recomienda configurar Panorama para que use las interfaces Eth1 y Eth2 para la comunicación del grupo de recopiladores y la recopilación de logs.
3. Configure cada par de disco en una configuración RAID (consulte Cómo añadir unidades a un dispositivo de la serie M). Esta tarea es necesaria para que los discos estén disponibles para el registro. De manera opcional, puede añadir discos para aumentar la capacidad de almacenamiento (consulte Capacidad de almacenamiento de la serie M).
4. Registre Panorama e instale las licencias.
5. Instale las actualizaciones de contenido y software de Panorama. 6. Configure HA en Panorama.
STEP 2 |Siga estos pasos para preparar Panorama para la recopilación de logs.
1. Conéctese al Panorama principal de uno de estos modos:
• Conecte un cable serie desde un ordenador hasta el puerto de consola del Panorama principal. Luego, utilice el software de emulación de terminal (9600-8-N-1) para conectarse.
• Use un software de emulación de terminal como PuTTY para abrir una sesión SSH en la dirección IP que especificó para la interfaz de MGT del Panorama principal durante la configuración inicial. 2. Inicie sesión en la CLI cuando se le solicite. Utilice la cuenta y la contraseña admin predeterminadas
que especificó durante la configuración inicial.
3. Habilite el Panorama principal para conectarse al Panorama secundario ingresando el siguiente comando, donde <IPaddress2> representa la interfaz de MGT del Panorama secundario: > configure
# set deviceconfig system panorama-server <IPaddress2> # commit
4. Inicie sesión en la CLI del Panorama secundario.
5. Habilite el Panorama secundario para conectarse al Panorama principal ingresando el siguiente comando, donde <IPaddress1> representa la interfaz de MGT del Panorama principal: > configure
# set deviceconfig system panorama-server <IPaddress1> # commit
# exit
6. En la CLI del Panorama secundario, introduzca el siguiente comando para mostrar el número de serie, y luego regístrelo:
Necesitará el número de serie para añadir el recopilador de logs del Panorama secundario como un recopilador gestionado al Panorama principal.
STEP 3 |Edite el recopilador de logs que sea local para el Panorama principal.
1. En el Panorama principal, seleccione Panorama > Managed Collectors (Recopiladores gestionados) y seleccione default (predeterminado) para el recopilador de logs.
2. (Opcional) Seleccione las interfaces (MGT, Eth1 o Eth2) para utilizar en Device Log Collection
(Recopilación de logs del dispositivo) y Collector Group Communication (Comunicación del grupo de recopiladores) (la opción predeterminada es MGT).
Las interfaces Eth1 y Eth2 están disponibles solo si las configuró para el servidor de gestión de Panorama durante la configuración inicial.
3. Seleccione Disks (Discos) y haga clic en Add (Añadir) para añadir cada par de discos de logs. 4. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 4 |Configure el recopilador de logs que sea local para el Panorama secundario.
Panorama trata este recopilador de logs como remoto porque no es local para el Panorama principal. Por tanto, debe añadirlo manualmente en el Panorama principal.
Use la interfaz web del Panorama principal para realizar el siguiente paso:
1. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) y haga clic en Add (Añadir) para añadir el recopilador de logs.
2. Introduzca el número de serie (Collector S/N [N.º de serie del recopilador]) que registró para el recopilador de logs del Panorama secundario.
3. Ingrese la dirección IP o FQDN de los peers de HA de Panorama primario y secundario en el campo Panorama Server IP (IP del servidor de Panorama) y en el campo Panorama Server IP 2 (IP 2 del servidor de Panorama) respectivamente. Estos campos son obligatorios.
4. Configure los ajustes de red de cada interfaz que va a usar el recopilador de logs. La interfaz Management (Gestión) es obligatoria. Si configuró el servidor de gestión de Panorama para que utilice las interfaces Eth1 y Eth2, configure también estas interfaces en el recopilador de logs. En cada interfaz, seleccione la pestaña correspondiente y configure uno o ambos de los siguientes conjuntos de campo según los protocolos IP de su red.
• IPv4: IP Address (Dirección IP), Netmask (Máscara de red) y Default Gateway (Puerta de enlace predeterminada)
• IPv6: IPv6 Address/Prefix Length (Dirección IPv6/Longitud de prefijo) y Default IPv6 Gateway (Puerta de enlace IPv6 predeterminada)
5. (Opcional) Para la interfaz Management (Gestión), seleccione SNMP si va a utilizar un gestor SNMP para supervisar las estadísticas del recopilador de logs.
Utilizar SNMP requiere pasos adicionales además de configurar el recopilador de logs.
6. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo. Este paso es obligatorio para que pueda habilitar los discos de logs o asignar las interfaces Eth1 o Eth2 a las funciones de creación de logs. 7. Seleccione Panorama > Managed Collectors (Recopiladores gestionados), edite el recopilador
de logs y seleccione las interfaces (MGT, Eth1 o Eth2) que utilizará para Device Log Collection (Recopilación de logs del dispositivo) y Collector Group Communication (Comunicación del grupo de recopiladores) (la opción predeterminada es MGT).
8. Seleccione Disks (Discos) y haga clic en Add (Añadir) para añadir cada par de discos de logs. 9. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en
STEP 5 |Añada los cortafuegos como dispositivos gestionados con la interfaz web del servidor de gestión de Panorama principal.
Añada cada cortafuegos que reenviará logs a los recopiladores de logs.
STEP 6 |Edite el grupo de recopiladores predeterminado que está predefinido en el Panorama principal.
Use la interfaz web del Panorama principal para realizar el siguiente paso:
1. Seleccione Panorama > Collector Groups (Grupos de recopiladores) y seleccione el grupo de recopiladores default (predeterminado).
Si añadirá múltiples recopiladores de logs a un único grupo de recopiladores, se recomienda seleccionar Enable log redundancy across collectors (Habilitar
redundancia de logs en los recopiladores).
2. (Opcional) Seleccione la pestaña Monitoring (Supervisión) y configure los ajustes si utilizará SNMP para supervisar las estadísticas y traps de los recopiladores de logs.
3. Seleccione Device Log Forwarding (Reenvío de logs del dispositivo). La sección Miembros del grupo de recopiladores muestra el recopilador de logs local de Panorama principal porque está preasignado al grupo de recopiladores predeterminado. De manera opcional, haga clic en Add (Añadir) para añadir el recopilador de logs local del Panorama secundario.
4. En la sección Preferencias de reenvío de logs, asigne cortafuegos según el número de recopiladores de logs en este grupo de recopiladores:
• Único: Asigne los cortafuegos que reenviarán logs al recopilador de logs predeterminado del Panorama principal, como se muestra en la Figura: Recopilador único de logs predeterminado por grupo de recopiladores.
• Múltiple: asigne cada cortafuegos a ambos recopiladores de logs para lograr redundancia. Cuando configure las preferencias, asigne al recopilador de logs 1 la máxima prioridad para la mitad de los cortafuegos y al recopilador de logs 2 la segunda máxima prioridad para la otra mitad, como se muestra en Figura: Varios recopiladores de logs predeterminados por grupo de recopiladores. 5. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 7 |Configure un grupo de recopiladores para que contenga el recopilador de logs en el Panorama secundario.
Este paso es necesario si cada grupo de recopiladores tiene un solo recopilador de logs. Use la interfaz web del Panorama principal para realizar el siguiente paso:
1. Seleccione Panorama > Collector Groups (Grupos de recopiladores) y haga clic en Add (Añadir) para añadir el grupo de recopiladores.
2. Introduzca un nombre en Name (Nombre) para identificar el grupo de recopiladores.
3. (Opcional) Seleccione la pestaña Monitoring (Supervisión) y configure los ajustes si utilizará un gestor SNMP para supervisar las estadísticas y traps de los recopiladores de logs.
4. Seleccione la pestaña Device Log Forwarding (Reenvío de logs del dispositivo) y, en la sección Miembros de grupo de recopiladores, haga clic en Add (Añadir) para añadir el recopilador de logs predeterminado del Panorama secundario.
5. En la sección Preferencias de reenvío de logs, asigne los cortafuegos que reenviarán logs al recopilador de logs predeterminado del Panorama secundario, como se muestra en la Figura: Recopilador único de logs predeterminado por grupo de recopiladores.
6. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 8 |Compile los cambios con la interfaz web del Panorama principal.
1. Haga clic en Commit (Compilar), configure Commit Type (Tipo de compilación) a Panorama y haga clic en Commit (Compilar) de nuevo.
2. Haga clic en Commit (Compilar), configure Commit Type (Tipo de compilación) a Collector Group (Grupo de recopiladores), seleccione los grupos de recopiladores que añadió y haga clic en Commit (Compilar) de nuevo.
STEP 9 |Realice una conmutación por error manual para que el Panorama secundario se active.
Use la interfaz web del Panorama principal para realizar el siguiente paso: 1. Seleccione Panorama > High Availability (Alta disponibilidad).
2. Haga clic en Suspend local Panorama (Suspender Panorama local) en la sección Comandos operativos.
STEP 10 | En el Panorama secundario, configure los ajustes de red del recopilador de logs que es local para el Panorama principal.
Use la interfaz web del Panorama secundario para realizar el siguiente paso:
1. En la interfaz web de Panorama, seleccione Panorama > Managed Collectors (Recopiladores gestionados) y seleccione el recopilador de logs que sea local para el Panorama principal.
2. Introduzca la dirección IP o FQDN del Panorama secundario en el campo Panorama Server IP (IP del servidor de Panorama) y la dirección IP o FQDN del Panorama principal en el campo Panorama Server IP 2 (IP 2 del servidor de Panorama). Estos campos son obligatorios.
3. Seleccione la pestaña Management (Gestión) y complete uno o ambos de los siguientes conjuntos de campos (según los protocolos de IP de su red) con los valores de la interfaz de gestión del Panorama principal:
• IPv4: IP Address (Dirección IP), Netmask (Máscara de red) y Default Gateway (Puerta de enlace predeterminada)
• IPv6: IPv6 Address/Prefix Length (Dirección IPv6/Longitud de prefijo) y Default IPv6 Gateway (Puerta de enlace IPv6 predeterminada)
4. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo. Espere a que termine la sincronización HA antes de continuar.
5. Haga clic en Commit (Compilar), configure Commit Type (Tipo de compilación) a Collector Group (Grupo de recopiladores), seleccione los grupos de recopiladores que añadió y haga clic en Commit (Compilar) de nuevo.
STEP 11 | Realice una conmutación por recuperación manual para el Panorama principal se active.
Use la interfaz web del Panorama secundario para realizar el siguiente paso: 1. Seleccione Panorama > High Availability (Alta disponibilidad).
2. Haga clic en Suspend local Panorama (Suspender Panorama local) en la sección Comandos operativos.
STEP 12 | Configure el reenvío de logs con la interfaz web del Panorama principal:
1. Configure el reenvío de logs a Panorama. 2. Verifique el reenvío de logs a Panorama.
3. (Opcional) Configure el reenvío de logs desde Panorama a destinos externos.
Puede configurar perfiles de servidor externos diferentes para tipos de logs y niveles de gravedad distintos. También puede asignar perfiles diferentes a cada peer de HA de Panorama. Por ejemplo, podría querer que cada peer reenvíe logs a un servidor Syslog diferente. Para que cada peer de Panorama reenvíe logs a servicios externos diferentes, inicie sesión en la interfaz web de cada peer, seleccione Panorama >
seleccione Collector Log Forwarding (Reenvío de logs del recopiladores), asigne los perfiles del servidor y haga clic en OK (Aceptar).