Monitorizar recursos de un firewall Palo Alto

Cómo monitorizar recursos (CPU, RAM, Sesiones) de un Next Generation Firewall Palo Alto desde CLI.



En tiempos de confinamiento y de work at home, las VPN - es decir, todos los elementos que las hacen posibles - son puntos críticos para la continuidad de negocio.

Quien haya trabajado o esté trabajando actualmente con un firewall físico como endpoint de la VPN a la que se conectan los empleados de una empresa, se habrá dado cuenta de que los recursos de un firewall físico no son ilimitados. Por este motivo, una de las mayores preocupaciones de los departamentos de sistemas a día de hoy es saber si el firewall que usan es capaz de aguantar una gran carga de trabajo o si necesitan barajar otras opciones para permitir el work at home.

En los firewalls Palo Alto encontramos 2 chips de CPU (3 en los nuevos modelos, donde hay un chipset emplazado específicamente para la desencriptación SSL) y un banco de memoria. El primer chip está destinado al management plane (MP) que es la CPU encargada de compilar cambios en la configuración de reglas del firewall. La otra CPU, data plane (DP), se encarga de aplicar las reglas al tráfico que pasa a través del dispositivo. Por último, tenemos la memoria RAM, común para todas las operaciones.

Para empezar la monitorización, podemos averiguar el porcentaje de uso de la CPU del data plane. Para monitorizar la CPU del data plane del firewall, debemos usar el comando show running resource-monitor:

admin@FW(active)> show running resource-monitor Resource monitoring sampling data (per second): CPU load sampling by group: flow_lookup : 31% flow_fastpath : 29% flow_slowpath : 31% flow_forwarding : 31% flow_mgmt : 17% flow_ctrl : 17% nac_result : 31% flow_np : 29% dfa_result : 31% module_internal : 31% aho_result : 31% zip_result : 31% pktlog_forwarding : 31% lwm : 0% flow_host : 28% CPU load (%) during last 60 seconds: core 0 1 2 3 4 5 * 18 34 32 32 32 ...

En este caso, la mejor opción para ver una media de uso de CPU es fijarnos en estos dos apartados:

Resource utilization (%) during last 60 seconds: session: 22 22 22 22 22 22 22 22 22 22 22 22 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 22 22 22 22 22 22 22 23 23 23 ... Resource utilization (%) during last 60 minutes: session (average): 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 22 21 22 22 21 22 21 21 21 21 21 21 22 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 21 23

El siguiente problema que podemos encontrarnos al usar un firewall físico como endpoint de VPN es la falta de memoria RAM del aparato. Es conveniente, pues, monitorizar la RAM libre.

Podemos monitorizar conjuntamente la CPU de management y la RAM del dispositivo usando el comando show system resources, una versión de top adaptada por Palo Alto:

admin@FW(active)> show system resources top - 10:21:01 up 9 days, 14:08, 1 user, load average: 0.00, 0.01, 0.00 Tasks: 112 total, 1 running, 111 sleeping, 0 stopped, 0 zombie Cpu(s): 4.2%us, 2.0%sy, 0.1%ni, 93.4%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st Mem: 3850716k total, 3498408k used, 352308k free, 189140k buffers Swap: 2008084k total, 2620k used, 2005464k free, 1302264k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1848 30 10 50816 9812 3740 S 5.9 0.3 7:58.32 python 2479 nobody 20 0 157m 33m 6328 S 2.0 0.9 93:39.88 appweb3 2480 20 0 76584 14m 4908 S 2.0 0.4 64:32.14 ikemgr 2495 20 0 160m 19m 5048 S 2.0 0.5 12:39.28 authd 2580 20 0 762m 35m 3576 S 2.0 0.9 20:51.64 mongod 1 20 0 2084 592 564 S 0.0 0.0 0:05.99 init 2 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd 3 RT 0 0 0 0 S 0.0 0.0 0:03.41 migration/0 4 20 0 0 0 0 S 0.0 0.0 0:23.75 ksoftirqd/0 5 RT 0 0 0 0 S 0.0 0.0 0:03.47 migration/1 ...

Las líneas CPU y Mem nos in dican el uso de la CPU de management y de la RAM del dispositivo.

Para acabar, no está de más monitorizar el número de sesiones en uso en el firewall:

admin@FW(active)> show resource limit session current session max session ---------------------------------------- 59800 262142

Con toda esta información, ya podemos saber si nuestro firewall está en las últimas o si es capaz de soportar la carga de trabajo a la que se enfrenta.


Fuentes:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUbCAK
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXwCAK

Post a Comment

Mới hơn Cũ hơn