Palo Alto機器のフロー出力設定

NetFlow分析を行うには、NetFlowコレクタであるオンプレミスポーラーにフローを出力するように機器を設定する必要があります。オンプレミスポーラーは特定のポートに通信を行い、フローを受信します。オンプレミスポーラーのポート番号についてはこちら

次の手順でNetFlowレコード出力設定を行ってください。

1. NetFlowサーバープロファイルの作成
2. NetFlowサーバープロファイルをトラフィックを送るインターフェースに割り当て
3. ファイアーウォールがNetFlowレコード送信に使用するインターフェースのサービスルートを設定 (Required for PA-7000シリーズおよびPA-5200シリーズファイアウォールであることが条件)
4. 変更をコミット

手順1：NetFlowサーバープロファイルの作成

Site24x7を出力されたレコードを受信するNetFlowコレクターとして設定します。次の手順を行ってください。

1. Palo Alto機器にログインします。
2. 機器 > サーバープロファイル > NetFlow > 追加の順にクリックします。
3. 名前：名前を入力しプロファイルを特定します。
4. テンプレート更新速度で、機器が一分間にNetFlowテンプレートを更新する頻度（デフォルトは30）とパケット（出力レコード-デフォルトは20）を設定します。
5. アクティブタイムアウト：ファイアウォールが出力するレコードの一分間での頻度であるアクティブタイムアウトを設定します（デフォルトは5）。.
6. ファイアウォールにApp-IDとUser-ID項目を出力させたい場合、PAN-OS Field Typesの隣のボックスにチェックを入れます。
7. 次の項目を入力して、レコードを受信するNetFlowコレクターを追加してください。
   • 名前：コレクターを特定する名前です。
   • NetFlowサーバー：オンプレミスポーラーがインストールされているマシンのホスト名またはIPアドレスです。
   • ポート：アクセスポートです（デフォルトは2055）です。
8. OKをクリックします。

手順2：NetFlowサーバープロファイルをトラフィックを送るインターフェースに割り当て

NetFlowプロファイルの設定が完了したら、次はプロファイルをファイアウォールインターフェースに割り当てます。

1. ネットワーク > インターフェース > Ethernetの順にアクセスし、インターフェース名をクリックしてそれを編集します。
2. 設定するNetFlowサーバープロファイル（NetFlowプロファイル）を選択して、OKをクリックします。

手順3：ファイアーウォールがNetFlowレコード送信に使用するインターフェースのサービスルートを設定 (Required for PA-7000シリーズおよびPA-5200シリーズファイアウォールであることが条件)

1. 機器 > 設定 > サービスの順にアクセスします。
2. 複数仮想システムをもつファイアウォールの場合、次から一つを選択します。
   • グローバル：これを選択するとサービスルートがファイアウォールの全仮想システムに適用されます。
   • 仮想システム：これを選択するとサービスルートが特定の仮想システムに適用されます。ロケーションを仮想システムに設定します。
3. サービスルート設定を選択して、カスタマイズを行います。
4. インターフェースが使っているプロトコル（IPv4、IPv6）を選択します。必要であれば両プロトコルのサービスルートを設定できます。
5. サービス行のNetflowをクリックします。
6. 送信元インターフェースを選択します。
   
   Any、Use default、MGTは、PA-7000シリーズまたはPA-5200シリーズファイアウォールからNetFlowレコードを送信するための有効なインターフェイスオプションではありません。
7. 送信元アドレス（IPアドレス）を選択します。
8. OKを2回クリックして、変更を保存します。

手順4：変更のコミット

上記の全変更を保存します。

詳細についてはPalo Altoオフィシャルドキュメントを参照してください。