Deterministic model

Las siguientes ilustraciones muestran Panorama en una implementación de recopilación de logs distribuida. En estos ejemplos, el servidor de gestión de Panorama consta de dos dispositivos de la serie M en modo Panorama que se implementan en una configuración de alta disponibilidad (high availability, HA) activa/ pasiva. De manera alternativa, puede usar un par de HA de dispositivos virtuales de Panorama. Los cortafuegos envían logs a recopiladores de logs dedicados (dispositivos de la serie M en el modo de recopilación de logs). Esta es la configuración recomendada si los cortafuegos generan más de 10.000 logs por segundo. (Para obtener detalles sobre las opciones de implementación, consulte Planificación de una implementación de recopilación de logs).

Si asignará más de un recopilador de logs a un grupo de recopiladores, tenga en cuenta los

requisitos, riesgos y mitigaciones recomendadas asociadas.

Figure 7: Ilustración: Varios recopiladores de logs dedicados por grupo de recopiladores

Siga estos pasos para implementar Panorama con recopiladores de logs dedicados. Omita cualquier paso que ya haya realizado (por ejemplo, la configuración inicial).

STEP 1 |Realice la configuración inicial del servidor de gestión de Panorama (dispositivos virtuales o dispositivos de la serie M) y los recopiladores de logs dedicados.

Para cada dispositivo de la serie M:

1. Monte en rack el dispositivo de la serie M. Consulte la Guía de referencia de hardware de M-100 o M-500 para obtener instrucciones.

2. Lleve a cabo la configuración inicial del dispositivo de la serie M.

Para reducir la carga de tráfico en la interfaz de gestión (management, MGT) y para mejorar la seguridad del tráfico de gestión, Palo Alto Networks recomienda configurar Panorama para que use las interfaces Eth1 y Eth2 para la comunicación del grupo de recopiladores y la recopilación de logs. Estas interfaces se definen durante la configuración inicial del servidor de gestión de Panorama.

3. Configure cada par de disco en una configuración RAID (consulte Cómo añadir unidades a un dispositivo de la serie M). Esta tarea es necesaria para que los discos estén disponibles para el registro. De manera opcional, puede añadir discos para aumentar la capacidad de almacenamiento (consulte Capacidad de almacenamiento de la serie M).

4. Registre Panorama e instale las licencias.

5. Instale las actualizaciones de contenido y software de Panorama. Para cada dispositivo virtual (de haberlo):

2. Realice la configuración inicial del dispositivo virtual de Panorama. 3. Registre Panorama e instale las licencias.

4. Instale las actualizaciones de contenido y software de Panorama.

Para el servidor de gestión de Panorama (dispositivo virtual o de la serie M), también debe configurar la HA.

STEP 2 |Cambie del modo Panorama al modo de recopilador de logs en cada dispositivo de la serie M que será un recopilador de logs dedicado.

Cambiar el modo de un dispositivo de la serie M elimina todos los datos de log existentes y las configuraciones excepto la de acceso de gestión. Tras el cambio, el dispositivo de la serie M conserva el acceso a la CLI pero pierde el acceso a la interfaz web.

1. Conéctese al dispositivo de la serie M de uno de estos modos:

• Conecte un cable serie desde un ordenador hasta el puerto de consola del dispositivo de la serie M. A continuación, utilice el software de emulación de terminal (9600-8-N-1) para conectarse. • Use un software de emulación de terminal como PuTTY para abrir una sesión SSH en la dirección

IP que especificó para la interfaz de MGT del dispositivo de la serie M durante la configuración inicial.

2. Inicie sesión en la CLI cuando se le solicite. Utilice la cuenta y la contraseña admin predeterminadas que especificó durante la configuración inicial.

3. Para cambiar al modo de recopilación de logs, introduzca el siguiente comando: > request system system-mode logger

4. Ingrese Y para confirmar el cambio de modo. El dispositivo de la serie M se reiniciará. Si el proceso de reinicio finaliza la sesión de software de emulación de terminal, vuelva a conectar el dispositivo de la serie M para ver la solicitud de inicio de sesión a Panorama.

Si ve la solicitud CMS Login, esto significa que el recopilador de logs finalizó el reinicio. Presione Intro en la solicitud sin escribir un nombre de usuario y contraseña.

5. Vuelva a iniciar sesión en la CLI.

6. Verifique que el cambio al modo de recopilador de logs se realizó correctamente: > show system info | match system-mode

Si el cambio de modo es correcto, se muestra lo siguiente: system-mode: logger

STEP 3 |Registre el número de serie de cada recopilador de logs.

Necesitará los números de serie para añadir los recopiladores de logs como recopiladores gestionados en el servidor de gestión de Panorama.

1. En la CLI de cada recopilador de logs, introduzca el siguiente comando para mostrar su número de serie.

> show system info | match serial 2. Registre el número de serie.

STEP 4 |Añada cada recopilador de logs como un recopilador gestionado con la interfaz web del servidor de gestión de Panorama principal.

1. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) y haga clic en Add (Añadir) para añadir el recopilador gestionado.

2. En la pestaña General, introduzca el número de serie (Collector S/N [N.º de serie del recopilador]) que registró para el recopilador de logs.

3. Ingrese la dirección IP o FQDN de los peers activos y pasivos de HA de Panorama en el campo Panorama Server IP (IP de servidor de Panorama) y en el campo Panorama Server IP 2 (IP 2 de servidor de Panorama) respectivamente. Estos campos son obligatorios.

4. Seleccione la pestaña Management (Gestión) y configure uno o ambos de los conjuntos de campo siguientes para la interfaz de MGT, según los protocolos IP de su red.

• IPv4: IP Address (Dirección IP), Netmask (Máscara de red) y Default Gateway (Puerta de enlace predeterminada)

• IPv6: IPv6 Address/Prefix Length (Dirección IPv6/Longitud de prefijo) y Default IPv6 Gateway (Puerta de enlace IPv6 predeterminada)

5. (Opcional) En la sección Servicios de interfaz de gestión, seleccione SNMP si utilizará un gestor SNMP para supervisar las estadísticas del recopilador de logs.

Utilizar SNMP requiere pasos adicionales además de configurar el recopilador de logs.

6. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo.

Este paso es necesario antes de que pueda habilitar los discos de registro en el recopilador de logs. 7. Verifique que la página Panorama > Managed Collectors (Recopiladores gestionados) detalle los

recopiladores de logs que añadió. La columna Conectado muestra un icono de marca de verificación para indicar que el recopilador de logs está conectado a Panorama. Es posible que deba esperar unos minutos para que la página muestre el estado de conexión actualizado.

En este punto, la columna Estado de configuración muestra Out of Sync y la columna Estado de tiempo de ejecución muestra disconnected. El estado cambiará a In Sync y connected después de que configure un recopilador de logs más adelante en este procedimiento.

STEP 5 |Habilite la conectividad entre cada recopilador de logs y el servidor de gestión de Panorama.

Este paso es necesario para que pueda habilitar los discos de logs en los recopiladores de logs. Introduzca los siguientes comandos en la CLI de cada recopilador de logs. <IPaddress1> es para la interfaz de MGT del Panorama activo y <IPaddress2> es para la interfaz de MGT del interfaz del Panorama pasivo.

> configure

# set deviceconfig system panorama-server <IPaddress1> panorama-server-2 <IPaddress2>

# commit # exit

STEP 6 |Habilite los discos de registro en cada recopilador de logs con la interfaz web del servidor de gestión de Panorama principal.

1. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) y edite el recopilador de logs.

2. Seleccione Disks (Discos) y haga clic en Add (Añadir) para añadir cada par de discos.

3. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo.

STEP 7 |(Opcional) Configure las interfaces Eth1 o Eth2 si los recopiladores de logs las utilizarán para la comunicación del grupo de recopiladores y la recopilación de logs.

Estas interfaces están disponibles solo si las configuró para el servidor de gestión de Panorama durante la configuración inicial. Use la interfaz web del servidor de gestión de Panorama principal para realizar estos pasos en cada recopilador de logs.

Palo Alto Networks recomienda usar Eth1 o Eth2 para reducir la carga de tráfico en la interfaz de MGT y para mejorar la seguridad del tráfico de gestión.

1. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) y edite el recopilador de logs.

2. Configure los ajustes de red de las interfaces Eth1 o Eth2. En cada interfaz, seleccione la pestaña correspondiente y configure uno o ambos de los siguientes conjuntos de campo según los protocolos IP de su red.

• IPv4: IP Address (Dirección IP), Netmask (Máscara de red) y Default Gateway (Puerta de enlace predeterminada)

• IPv6: IPv6 Address/Prefix Length (Dirección IPv6/Longitud de prefijo) y Default IPv6 Gateway (Puerta de enlace IPv6 predeterminada)

3. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo.

Este paso es obligatorio para que pueda asignar las interfaces Eth1 o Eth2 a las funciones de creación de logs.

4. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) y edite el recopilador de logs.

5. Seleccione las interfaces (MGT, Eth1 o Eth2) que utilizará el recopilador de logs para Device Log Collection (Recopilación de logs del dispositivo) y Collector Group Communication (Comunicación del grupo de recopiladores) (la opción predeterminada es MGT).

6. Haga clic en OK (Aceptar) para guardar los cambios.

STEP 8 |Añada los cortafuegos como dispositivos gestionados con la interfaz web del servidor de gestión de Panorama principal.

Añada cada cortafuegos que reenviará logs a los recopiladores de logs.

STEP 9 |Configure un grupo de recopiladores con la interfaz web del servidor de gestión de Panorama principal.

Si cada grupo de recopiladores tendrá solo un recopilador de logs, repita este paso para cada grupo de recopiladores antes de continuar. Si asignará todos los recopiladores de logs a un grupo de recopiladores, realice este paso solo una vez.

1. Seleccione Panorama > Collector Groups (Grupos de recopiladores), haga clic en Add (Añadir) para añadir un recopilador de logs e introduzca un nombre en Name (Nombre).

Si añade múltiples recopiladores de logs a un único grupo de recopiladores, se recomienda seleccionar Enable log redundancy across collectors (Habilitar la

redundancia de logs en los recopiladores). Para la redundancia, cada recopilador

de logs del grupo de recopiladores requiere el mismo número de discos.

2. (Opcional) Seleccione la pestaña Monitoring (Supervisión) y configure los ajustes si utilizará SNMP para supervisar los recopiladores de logs.

3. Seleccione la pestaña Device Log Forwarding (Reenvío de logs del dispositivo) y, en la sección Miembros de grupo de recopiladores, asigne uno o varios recopiladores de logs.

Todos los recopiladores de logs de un grupo de recopiladores en particular deben tener la misma plataforma: todos los dispositivos M-100 o todos los dispositivos M-500.

4. En la sección Preferencias de reenvío de logs, asigne cortafuegos según el número de recopiladores de logs en este grupo de recopiladores:

• Único: asigne los cortafuegos que reenviarán logs a ese recopilador de logs, como se muestra en la Figura: Recopilador único de logs dedicado por grupo de recopiladores.

• Múltiple: asigne cada cortafuegos a ambos recopiladores de logs para lograr redundancia. Cuando configure las preferencias, asigne al recopilador de logs 1 la máxima prioridad para la mitad de los cortafuegos y al recopilador de logs 2 la segunda máxima prioridad para la otra mitad, como se muestra en Figura: Varios recopiladores de logs dedicados por grupo de recopiladores.

5. Haga clic en OK (Aceptar) y Commit (Compilar), configure Commit Type (Tipo de compilación) en Panorama, y haga clic en Commit (Compilar) de nuevo.

6. Haga clic en Commit (Compilar), configure Commit Type (Tipo de compilación) a Collector Group (Grupo de recopiladores), seleccione los grupos de recopiladores que añadió y haga clic en Commit (Compilar) de nuevo.

7. Seleccione Panorama > Managed Collectors (Recopiladores gestionados) para verificar que la configuración del recopilador de logs está sincronizada con Panorama.

La columna Estado de configuración debe mostrar In Sync y la columna Estado de tiempo de ejecución muestra connected.

STEP 10 | Configure el reenvío de logs con la interfaz web del servidor de gestión de Panorama principal.

1. Configure el reenvío de logs a Panorama. 2. Verifique el reenvío de logs a Panorama.

3. (Opcional) Configure el reenvío de logs desde Panorama a destinos externos.

Implementación de Panorama con recopiladores de logs