Manage Log Collection

Panorama™
Administrator’s
Guide
Version 7.1
Contact Information

Corporate Headquarters:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact‐us

About this Guide

This guide describes how to set up and use Panorama™ for centralized management; it is intended for administrators 
who want the basic framework to quickly set up the Panorama virtual appliance or the M‐Series appliance for 
centralized administration of Palo Alto Networks firewalls.
If you have an M‐Series appliance, this guide takes over after you finish rack mounting your M‐Series appliance.
For more information, refer to the following sources:

 For information on how to configure other components in the Palo Alto Networks Next‐Generation Security 
Platform, go to the Technical Documentation portal: https://www.paloaltonetworks.com/documentation or 
search the documentation.

 For access to the knowledge base, complete documentation set, discussion forums, and videos, refer to 
https://live.paloaltonetworks.com.

 For contacting support, for information on support programs, to manage your account or devices, or to open a 
support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html.

 For the most current PAN‐OS and Panorama 7.1 release notes, go to 
https://www.paloaltonetworks.com/documentation/71/pan‐os/pan‐os‐release‐notes.html.
To provide feedback on the documentation, please write to us at: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found 
at http://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their 
respective companies.

Revision Date: August 15, 2016

2 •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.
 Manage Log Collection
All Palo Alto Networks next‐generation firewalls can generate logs that provide an audit trail of firewall 
activities. For Centralized Logging and Reporting, you must forward the logs generated on the firewalls to 
Panorama. You can then configure Panorama to aggregate the logs and forward them to remote logging 
destinations. If you forward logs to a Panorama virtual appliance, you don’t need to perform any additional 
tasks to enable logging. If you will forward logs to an M‐Series appliance in Panorama mode or Log Collector 
mode, you must add the Log Collectors as managed collectors and assign them to Collector Groups to access, 
manage, and update the Log Collectors using Panorama. To determine which deployment best suits your 
needs, see Plan a Log Collection Deployment.

To manage the System and Config logs that Panorama generates locally, see Monitor Panorama.

 Configure a Managed Collector
 Manage Collector Groups
 Configure Log Forwarding to Panorama
 Verify Log Forwarding to Panorama
 Modify Log Forwarding and Buffering Defaults.
 Configure Log Forwarding from Panorama to External Destinations
 Log Collection Deployments

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  131

Copyright © 2007-2015 Palo Alto Networks

Configure a Managed Collector Manage Log Collection

Configure a Managed Collector

To enable the Panorama management server (Panorama virtual appliance or M‐Series appliance in Panorama 
mode) to manage a Log Collector, you must add it as a managed collector. The M‐Series appliance in 
Panorama mode has a predefined (default) local Log Collector. However, switching from Panorama Mode to 
Log Collector Mode would remove the local Log Collector and would require you to re‐configure the 
appliance as a Dedicated Log Collector (M‐Series appliance in Log Collector mode). When the Panorama 
management server has a high availability (HA) configuration, each HA peer can have a local Log Collector. 
Dedicated Log Collectors don’t support HA.

We recommend that you install the same Applications update on Panorama as on managed 
Collectors and firewalls. For details, see Panorama, Log Collector, and Firewall Version 
Compatibility.
We recommend retaining a local Log Collector and local Collector Group on the M‐Series 
appliance in Panorama mode, regardless of whether it manages Dedicated Log Collectors.

Configure a Managed Collector

Step 1 Perform initial setup of the M‐Series  1. Rack mount the M‐Series appliance. Refer to the M‐100 or 

appliance in Log Collector mode if you  M‐500 Hardware Reference Guide for instructions.
haven’t already. 2. Perform Initial Configuration of the M‐Series Appliance.
Only Dedicated Log Collectors require  When configuring interfaces, configure only the 
this step. Management (MGT) interface. Switching to Log 
Collector mode (Step 2) removes any Eth1 and Eth2 
interface configurations. If the Log Collector will use 
Eth1 and Eth2, add them when configuring the Log 
Collector (Step 8).
3. Register Panorama and Install Licenses.
4. Install Content and Software Updates for Panorama.
5. Configure each disk pair. This task is required to make the 
RAID disks available for logging. Optionally, you can add disks 
to Increase Storage on the M‐Series Appliance.

Step 2 Switch from Panorama mode to Log  1. Access the CLI of the M‐Series appliance.

Collector mode. 2. Enter the following command to switch to Log Collector 
Switching to Log Collector mode  mode: 
reboots the appliance, deletes 
> request system system-mode Logger
any existing log data, and deletes 
all configurations except  3. Enter Y to confirm the mode change. The M‐Series appliance 
management access settings.  reboots. If the reboot process terminates your terminal 
Switching the mode does not  emulation software session, reconnect to the M‐Series 
delete licenses, software  appliance to display the Panorama login prompt.
updates, or content updates. If you see a CMS Login prompt, press Enter without 
typing a username or password.
4. Log back in to the CLI.
5. Enter the following command to verify that the switch to Log 
Collector mode succeeded:
> show system info | match system-mode
If the mode change succeeded, the output displays:
system-mode: logger

132  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Configure a Managed Collector

Configure a Managed Collector (Continued)

Step 3 Enable connectivity among the M‐Series  These steps vary by Log Collector type. For HA deployments, 

appliances. <IPaddress1> and <IPaddress2> are for the management 
interface of the primary and secondary Panorama management 
server respectively. For non‐HA deployments, specify only 
<IPaddress1>.
•  Dedicated Log Collectors—Run the following commands at the 
CLI of each Log Collector:
> Configure 
# set deviceconfig system panorama-server
<IPaddress1> panorama-server-2 <IPaddress2> 
# commit 
•  Local Log Collectors—These steps are required only for an HA 
deployment:
a.  Log into the CLI of the primary Panorama and enter:
> Configure 
# set deviceconfig system panorama-server
<IPaddress2> 
# commit 
b.  Log into the CLI of the secondary Panorama and enter:
> Configure 
# set deviceconfig system panorama-server
<IPaddress1> 
# commit 

Step 4 Record the serial number of the Log  The steps to display the serial number vary by Log Collector type:

Collector. •  Local—Access the Panorama web interface and record the value 
You will need this when you add the Log  on the Dashboard tab, General Information section, Serial # 
Collector as a managed collector. field. In an HA deployment, record the Serial # of each 
Panorama peer on which you will configure a Log Collector.
•  Dedicated—Access the Log Collector CLI, run the show system
info command, and record the serial number.

Step 5 Configure the general settings of the Log  Use the web interface of the primary Panorama management 

Collector. server to perform these steps:
1. Select Panorama > Managed Collectors and Add a new Log 
Collector or edit the predefined local Log Collector (named 
default).
Although the secondary Panorama HA peer has a predefined 
local Log Collector, you must manually add it on the primary 
Panorama.
2. In the General tab, Collector S/N field, enter the serial 
number you recorded for the Log Collector.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  133

Copyright © 2007-2015 Palo Alto Networks

Configure a Managed Collector Manage Log Collection

Configure a Managed Collector (Continued)

Step 6 Configure network access for the Log  1. In the Panorama Server IP field, enter the IP address or 

Collector. FQDN of the solitary (non‐HA) or primary (HA) Panorama. For 
Perform this step only for a Dedicated  an HA deployment, enter the IP address or FQDN of the 
Log Collector or a local Log Collector on  secondary Panorama peer in the Panorama Server IP 2 field. 
the secondary Panorama HA peer. These fields are required.
Although you defined similar  2. Configure the IP addresses of the Primary DNS Server and 
parameters during initial  Secondary DNS Server.
configuration of the Panorama  3. (Optional) Set the Timezone that Panorama will use to record 
management server, you must  log entries.
re‐define the parameters for the 
Log Collector.

Step 7 Configure administrative access to the  1. Select the Authentication tab, select the password Mode, and 

Log Collector CLI. enter the Password (the default is admin).
Only Dedicated Log Collectors require  2. Enter the number of Failed Attempts to log in that Panorama 
this step. The default CLI administrator is  allows before locking out the administrator. Enter the Lockout
admin. You cannot modify this username  Time in minutes. These settings can help protect the Log 
nor add CLI administrators. Collector from a brute force attack.

Step 8 Configure the Log Collector interfaces. 1. Configure each interface that the Log Collector will use. Only 

Perform this step only for a Dedicated  the Management interface is required. 
Log Collector or a local Log Collector on  For each interface, select the corresponding tab and configure 
the secondary Panorama HA peer. one or both of the following field sets based on the IP 
The Eth1 or Eth2 interfaces are available  protocols of your network.
only if you defined them during initial  •  IPv4—IP Address, Netmask, and Default Gateway
configuration of the Panorama  •  IPv6—IPv6 Address/Prefix Length and Default IPv6
management server. Gateway
2. (Optional) In the Management tab, select the SNMP service if 
you will use SNMP to monitor the Log Collector.
Using SNMP requires additional steps besides configuring the 
Log Collector. For details, see Monitor Panorama and Log 
Collector Statistics Using SNMP.
3. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again.
This step is required before you can enable logging disks or 
assign the Eth1 and Eth2 interfaces to logging functions.
4. (Optional) Edit the Log Collector and select the interfaces 
(mgmt, eth1, or eth2) that it will use for Device Log Collection 
and Collector Group Communication (default is mgmt).

Step 9 Enable the logging disks. 1. Select Disks and Add each disk pair.

2. Click OK and Commit, for the Commit Type select Panorama, 
and click Commit again.

134  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Configure a Managed Collector

Configure a Managed Collector (Continued)

Step 10 Verify your changes. 1. Verify that the Panorama > Managed Collectors page lists the 

Log Collector you added. The Connected column displays a 
check mark to indicate that the Log Collector is connected to 
Panorama. You might have to wait a few minutes before the 
page displays the updated connection status.
Until you Configure a Collector Group and perform a 
Collector Group commit, the Configuration Status 
column displays Out of Sync, the Run Time Status 
column displays disconnected, and the CLI command 
show interface all displays the interfaces as down.
2. Click Statistics in the last column to verify that the logging 
disks are enabled.

Step 11 Next steps... Before a Log Collector can receive firewall logs, you must:

1. Configure Log Forwarding to Panorama.
2. Configure a Collector Group. The predefined local Log 
Collector is preassigned to a predefined Collector Group.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  135

Copyright © 2007-2015 Palo Alto Networks

Manage Collector Groups Manage Log Collection

Manage Collector Groups

A Collector Group is one or more Log Collectors that operate as a single logical unit for collecting firewall 
logs. You can configure a Collector Group with multiple Log Collectors to ensure log redundancy or to 
accommodate logging rates that exceed the capacity of a single Log Collector (see Panorama Platforms). To 
understand the risks and recommended mitigations, see Caveats for a Collector Group with Multiple Log 
Collectors.
The M‐Series appliance in Panorama mode (Panorama management server) has a predefined (default) local 
Collector Group that contains a predefined local Log Collector. However, switching to Log Collector mode 
would remove the local Log Collector and Collector Group; you would have to Set up the M‐Series Appliance 
as a Log Collector, add it as a managed collector to the Panorama management server, and configure a 
Collector Group to contain the managed collector.

If you delete a Collector Group, you will lose logs.
We recommend retaining a local Log Collector and local Collector Group on the M‐Series 
appliance in Panorama mode, regardless of whether it manages Dedicated Log Collectors.

 Configure a Collector Group
 Move a Log Collector to a Different Collector Group
 Remove a Firewall from a Collector Group

Configure a Collector Group

After you configure Log Collectors and firewalls, you must assign them to a Collector Group so that the 
firewalls can send logs to the Log Collectors. A Collector Group with multiple Log Collectors has the 
following requirements:
 All the Log Collectors in any particular Collector Group must be the same platform: all M‐100 appliances 
or all M‐500 appliances.
 Log redundancy is available only if each Log Collector has the same number of logging disks. To add disks 
to a Log Collector, see Increase Storage on the M‐Series Appliance.

136  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Manage Collector Groups

Configure a Collector Group

Step 1 Perform the following tasks before  In these tasks, skip any steps that involve configuring or 

configuring the Collector Group. committing changes to the Collector Group; you will perform those 
steps later in the current procedure.
1. Add a Firewall as a Managed Device for each firewall that you 
will assign to the Collector Group.
2. (Optional) Configure Log Forwarding from Panorama to 
External Destinations.
3. Configure a Managed Collector for each Log Collector that 
you will assign to the Collector Group.
You must manually add each Dedicated Log Collector 
(M‐Series appliance in Log Collector mode). The M‐Series 
appliance in Panorama mode has a predefined local Log 
Collector that you don’t need to add.
If you will use SNMP for monitoring, select the SNMP 
service when you configure the Management 
interface of a Log Collector. Using SNMP requires 
additional steps besides configuring the Collector 
Group. For details, see Monitor Panorama and Log 
Collector Statistics Using SNMP.

Step 2 Add the Collector Group. 1. Access the Panorama web interface, select Panorama >

Collector Groups, and Add a Collector Group or edit an 
existing one.
The M‐Series appliance in Panorama mode has a 
predefined Collector Group named default.

2. In the General tab, enter a Name for the Collector Group if 
you are adding one. You cannot rename an existing Collector 
Group.
3. Enter the Minimum Retention Period in days (1‐2,000) for 
which the Collector Group will retain firewall logs.
4. (Optional) Enable log redundancy across collectors to ensure 
that no logs are lost if any one Log Collector in the Collector 
Group becomes unavailable. Each log will have two copies and 
each copy will reside on a different Log Collector. Redundancy 
is available only if each Log Collector has the same number of 
logging disks.
Enabling redundancy creates more logs and therefore requires 
more storage capacity. When a Collector Group runs out of 
space, it deletes older logs. Redundancy also doubles the log 
processing traffic in a Collector Group, which reduces its 
maximum logging rate by half, as each Log Collector must 
distribute a copy of each log it receives.
If you add multiple Log Collectors to a single Collector 
group, enabling redundancy is a best practice.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  137

Copyright © 2007-2015 Palo Alto Networks

Manage Collector Groups Manage Log Collection

Configure a Collector Group (Continued)

Step 3 (Optional) Configure SNMP monitoring. Select the Monitoring tab, select the SNMP Version and enter the 

corresponding details:
•  V2c—Enter the SNMP Community String, which identifies a 
community of SNMP managers and monitored devices (Log 
Collectors, in this case), and serves as a password to 
authenticate the community members to each other.
Don’t use the default community string public; it is well 
known and therefore not secure.
•  V3—Create at least one SNMP view group and one user. User 
accounts and views provide authentication, privacy, and access 
control when Log Collectors forward traps and SNMP managers 
get Log Collector statistics.
•  Views—Each view is a paired OID and bitwise mask: the 
OID specifies a MIB and the mask (in hexadecimal format) 
specifies which objects are accessible within (include 
matching) or outside (exclude matching) that MIB. Click 
Add in the first list and enter a Name for the group of views. 
For each view in the group, click Add and configure the 
view Name, OID, matching Option (include or exclude), and 
Mask.
•  Users—Click Add in the second list, enter a username in the 
Users column, select the View group from the drop‐down, 
enter the authentication password (Auth Password) used 
to authenticate to the SNMP manager, and enter the 
privacy password (Priv Password) used to encrypt SNMP 
messages to the SNMP manager.

Step 4 Assign Log Collectors and firewalls to the  1. Select the Device Log Forwarding tab.

Collector Group. 2. In the Collector Group Members section, Add the Log 
Collectors.
All the Log Collectors in any particular Collector Group 
must be the same platform: all M‐100 appliances or all 
M‐500 appliances.
3. In the Log Forwarding Preferences section, click Add.
4. In the Devices section, click Modify, select the firewalls, and 
click OK.
You cannot assign PA‐7000 Series firewalls to a 
Collector Group. However, when you monitor logs or 
generate reports for a device group that includes a 
PA‐7000 Series firewall, Panorama queries the firewall 
in real‐time to display its log data.
5. In the Collectors section, Add the Log Collectors to which the 
firewalls will forward logs. If you assign multiple Log 
Collectors, the first one will be the primary; if the primary 
becomes unavailable, the firewalls send logs to the next Log 
Collector in the list. To change the priority of a Log Collector, 
select it and Move Up (higher priority) or Move Down (lower 
priority).
6. Click OK.

138  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Manage Collector Groups

Configure a Collector Group (Continued)

Step 5 Define the storage capacity (log quotas)  1. Return to the General tab and click the Log Storage value.

and expiration period for each log type.  If the field displays 0MB, verify that you enabled the 
disk pairs for logging and committed the changes (see 
Configure a Managed Collector, Disks tab).
2. Enter the log storage Quota(%) for each log type.
3. Enter the Max Days (expiration period) for each log type 
(range is 1‐2,000). By default, the fields are blank for all log 
types, which means the logs never expire.

Step 6 (Optional) Configure log forwarding from  1. Select the Collector Log Forwarding tab.

the Collector Group to external services. 2. For each log Severity level in the System, Threat, and 
To perform this step, you must have  Correlation tabs, click a cell in the SNMP Trap, Email Profile, 
added server profiles for the external  or Syslog Profile column, and select the server profile.
services in the task Configure Log 
3. In the Config, HIP Match, and Traffic tabs, select the SNMP
Forwarding from Panorama to External 
Trap, Email, or Syslog server profile.
Destinations.
In a high availability (HA)  4. For each Verdict in the WildFire tab, click a cell in the SNMP 
deployment, you can configure  Trap, Email Profile, or Syslog Profile column, and select the 
each Panorama HA peer to  server profile.
forward logs to different external  5. Click OK to save the Collector Group.
services. For details, see Deploy 
Panorama with Default Log 
Collectors.

Step 7 Commit the changes and verify that the  1. Click Commit, for the Commit Type select Panorama, and 

Log Collectors you assigned to the  click Commit again.
Collector Group are connected to, and  2. Click Commit, for the Commit Type select Collector Group, 
synchronized with, Panorama. select the Collector Group you added, and click OK.
3. Select Panorama > Managed Collectors. The Connected 
column displays a check mark icon to indicate that a Log 
Collector is connected to Panorama. The Configuration Status 
column indicates whether the configurations you committed 
to Panorama and the Log Collectors are synchronized (green 
icon) or are not synchronized (red icon) with each other.
The Collector Group won’t receive firewall logs until you Configure 
Log Forwarding to Panorama.

Move a Log Collector to a Different Collector Group

When you Plan a Log Collection Deployment, you assign Log Collectors to a Collector Group based on the 
logging rate and log storage requirements of that Collector Group. If the rates and required storage increase 
in a Collector Group, the best practice is to Increase Storage on the M‐Series Appliance or Configure a 
Collector Group with additional Log Collectors. However, in some deployments, it might be more economical 
to move Log Collectors between Collector Groups.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  139

Copyright © 2007-2015 Palo Alto Networks

Manage Collector Groups Manage Log Collection

The log data on a Log Collector becomes inaccessible after you remove it from a Collector Group. 
Also, you must perform a factory reset on the Log Collector before adding it to another Collector 
Group; a factory reset removes all configuration settings and logs.
When a Log Collector is local to an M‐Series appliance in Panorama mode, move it only if the 
M‐Series appliance is the passive peer in a high availability (HA) configuration. HA 
synchronization will restore the configurations that the factory reset removes. Never move a Log 
Collector when it’s local to an M‐Series appliance that is the active HA peer.
All the Log Collectors in any particular Collector Group must be the same platform: all M‐100 
appliances or all M‐500 appliances.
Log redundancy is available only if each Log Collector has the same number of logging disks. To 
add disks to a Log Collector, see Increase Storage on the M‐Series Appliance.

Move a Log Collector to Different Collector Group

Step 1 Remove the Log Collector from  1. Select Panorama > Collector Groups and select the Collector 

Panorama management. Group that contains the Log Collector you will move.
2. Select the Device Log Forwarding tab and, in the Log 
Forwarding Preferences list, perform the following steps for 
each set of firewalls assigned to the Log Collector you will 
move:
a.  In the Devices column, click the link for the firewalls 
assigned to the Log Collector.
b.  In the Collectors column, select the Log Collector and click 
Delete.
To reassign the firewalls, Add the new Log Collector 
to which they will forward logs.
c.  Click OK twice to save your changes.
3. Select Panorama > Managed Collectors, select the Log 
Collector you will move, and click Delete.
4. Click Commit, for the Commit Type select Panorama, and 
click Commit again.
5. Click Commit, for the Commit Type select Collector Group, 
select the Collector Group from which you deleted the Log 
Collector, and click Commit again.

Step 2 Reset the Log Collector to its factory  1. Log in to the CLI of the Log Collector. 

default settings. 2. Enter the following CLI operational command:
Do not interrupt the factory reset 
> debug system maintenance-mode
or reboot processes. Otherwise, 
The Log Collector takes approximately six minutes to reboot 
you might render the M‐Series 
in maintenance mode.
appliance unusable.
3. After the Log Collector reboots, press Enter to access the 
maintenance mode menu.
4. Select Factory Reset and press Enter.
5. Select Factory Reset and press Enter again.
The factory reset and subsequent reboot take approximately 
eight minutes in total, after which the Log Collector won’t 
have any configuration settings or log data. The default 
username and password to log in to the Log Collector is 
admin/admin.

140  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Manage Collector Groups

Move a Log Collector to Different Collector Group (Continued)

Step 3 Reconfigure the Log Collector. 1. Perform Initial Configuration of the M‐Series Appliance.

2. Register Panorama and Install Licenses.
3. Install Content and Software Updates for Panorama.
4. Set up the M‐Series Appliance as a Log Collector.

Step 4 Configure a Collector Group. Add the Log Collector to its new Collector Group and assign 

firewalls to the Log Collector.
When you commit the Collector Group configuration, 
Panorama starts redistributing logs across the Log 
Collectors. This process can take hours for each terabyte of 
logs. During the redistribution process, the maximum 
logging rate is reduced. In the Panorama > Collector
Groups page, the Redistribution State column indicates the 
completion status of the process as a percentage.

Remove a Firewall from a Collector Group

In a distributed log collection deployment, where you have Dedicated Log Collectors, if you need a firewall 
to send logs to Panorama instead of sending logs to the Collector Group, you must remove the firewall from 
the Collector group.
When you remove the firewall from the Collector Group and commit the change, the firewall will 
automatically send logs to Panorama instead of sending them to a Log Collector.

To temporarily remove the log forwarding preference list on the firewall, you can delete it using 
the CLI on the firewall. You must however, remove the assigned firewalls in the Collector Group 
configuration on Panorama. Otherwise, the next time you commit changes to the Collector 
Group, the firewall will be reconfigured to send logs to the assigned Log Collector.

Remove a Firewall from a Collector Group

Step 1 Select Panorama > Collector Groups and select the Collector Group.

Step 2 Select Log Forwarding and, in the Log Forwarding Preferences section, select the firewall to remove from the 

group, click Delete, and click OK.

Step 3 Click Commit, for the Commit Type select Panorama, and click Commit again.

Step 4 Click Commit, for the Commit Type select Collector Group, select the Collector Group from which you 

removed the firewall, and click Commit again.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  141

Copyright © 2007-2015 Palo Alto Networks

Configure Log Forwarding to Panorama Manage Log Collection

Configure Log Forwarding to Panorama

By default, firewalls store all log files locally. To aggregate logs on Panorama, you must configure the 
firewalls to forward logs to Panorama.

To forward firewall logs directly to external services (for example, a syslog server) and also to 
Panorama, see Configure Log Forwarding.
For details about all the log collection deployments that Panorama supports, see Log Forwarding 
Options.
The PA‐7000 Series firewall can’t forward logs to Panorama, only to external services. However, 
when you monitor logs or generate reports for a device group that includes a PA‐7000 Series 
firewall, Panorama queries the firewall in real‐time to display its log data.
If Panorama will manage firewalls running software versions earlier than PAN‐OS 7.0, specify a 
WildFire server from which Panorama can gather analysis information for WildFire samples that 
those firewalls submit. Panorama uses the information to complete WildFire Submissions logs 
that are missing field values introduced in PAN‐OS 7.0. Firewalls running earlier releases won’t 
populate those fields. To specify the server, select Panorama > Setup > WildFire, edit the 
General Settings, and enter the WildFire Private Cloud name. The default is 
wildfire-public-cloud, which is the WildFire cloud hosted in the United States.

Configure Log Forwarding to Panorama

Step 1 Add a Device Group for the firewalls  Panorama requires a device group to push a Log Forwarding profile 

that will forward logs. to firewalls. Create a new device group or assign the firewalls to an 
existing device group.

Step 2 Add a Template for the firewalls that will  Panorama requires a template to push log settings to firewalls. 

forward logs. Create a new template or assign the firewalls to an existing 
template.

Step 3 Create a Log Forwarding profile. 1. Select Objects > Log Forwarding, select the Device Group of 

The profile defines the destination of  the firewalls that will forward logs, and Add a profile. 
Traffic, Threat, and WildFire logs. (Threat  2. Enter a Name to identify the profile.
logs include URL Filtering and Data 
3. For each log type and each severity level or WildFire verdict, 
Filtering logs.)
select Panorama.
4. Click OK to save the profile.

142  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Configure Log Forwarding to Panorama

Configure Log Forwarding to Panorama (Continued)

Step 4 Assign the Log Forwarding profile to  Perform the following steps for each rule that will trigger log 

Security rules. forwarding:
1. Select the rulebase (for example, Policies > Security > Pre
Rules), select the Device Group of the firewalls that will 
forward logs, and select the rule.
2. Select the Actions tab and select the Log Forwarding profile.
3. In the Profile Type drop‐down, select Profiles or Group, and 
then select the security profiles or Group Profile required to 
trigger log generation and forwarding for:
•  Threat logs—Traffic must match any security profile 
assigned to the rule.
•  WildFire logs—Traffic must match a WildFire Analysis 
profile assigned to the rule.
4. For Traffic logs, select Log At Session Start and/or Log At
Session End.
5. Click OK to save the rule.

Step 5 Configure the destination of System,  1. Select Device > Log Settings and select the Template of the 

Config, and HIP Match logs. firewalls that will forward logs.
You cannot forward Correlation  2. For System logs, click each Severity level, select Panorama, 
logs (correlated events) from the  and click OK.
firewalls to Panorama. On the 
3. Edit the Config and HIP Match sections, select Panorama, and 
logs that are forwarded from 
click OK.
your managed firewalls, 
Panorama matches for the 
conditions specified in the 
correlation objects and 
automatically generates 
correlated event(s) when a match 
is observed. If you want, you can 
then forward these correlated 
events (Correlation logs) from 
Panorama to an external syslog 
server.

Step 6 (M‐Series appliances only) Configure  1. For each Log Collector that will receive logs, Configure a 

Panorama to receive the logs. Managed Collector.
2. Configure a Collector Group, in which you assign firewalls to 
specific Log Collectors for log forwarding.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  143

Copyright © 2007-2015 Palo Alto Networks

Configure Log Forwarding to Panorama Manage Log Collection

Configure Log Forwarding to Panorama (Continued)

Step 7 Commit your configuration changes. 1. Click Commit, set the Commit Type to Panorama, and click 

Commit again.
2. Click Commit, set the Commit Type to Device Group, select 
the device group of the firewalls that will forward logs, select 
Include Device and Network Templates, and click Commit 
again.
3. Click Commit, set the Commit Type to Collector Group, select 
the Collector Group you configured to receive the logs, and 
click Commit again.
4. Verify Log Forwarding to Panorama to confirm that your 
configuration is successful.
To change the log forwarding mode that the firewalls use 
to send logs to Panorama and to specify which Panorama 
HA peer can receive logs, you can Modify Log Forwarding 
and Buffering Defaults. You can also Manage Storage 
Quotas and Expiration Periods for Logs and Reports.

144  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Verify Log Forwarding to Panorama

Verify Log Forwarding to Panorama

After you Configure Log Forwarding to Panorama, test that your configuration succeeded.

Verify Log Forwarding to Panorama

Step 1 Access the firewall CLI.

Step 2 If you configured Log Collectors, verify that each firewall has a log forwarding preference list.
> show log-collector preference-list
If the Collector Group has only one Log Collector, the output will look something like this:
Log collector Preference List
Serial Number: 003001000024
IP Address:10.2.133.48

Step 3 Verify that each firewall is forwarding logs.
> show logging-status device <firewall-serial-number>
For successful forwarding, the output indicates that the log forwarding agent is active. For a Panorama virtual 
appliance, the agent is “Panorama.” For an M‐Series appliance, the agent is a “Log Collector.” 

Step 4 View the average logging rate. The displayed rate will be the average logs/second for the last five minutes.
• If Log Collectors receive the logs, access the Panorama web interface, select Panorama > Managed
Collectors and click the Statistics link in the far‐right column.
• If a Panorama virtual appliance receives the logs, access the Panorama CLI and run the following command: 
debug log-collector log-collection-stats show incoming-logs
This command also works on an M‐Series appliance.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  145

Copyright © 2007-2015 Palo Alto Networks

Modify Log Forwarding and Buffering Defaults Manage Log Collection

Modify Log Forwarding and Buffering Defaults

You can define the log forwarding mode that the firewalls use to send logs to Panorama and, when 
configured in a high availability (HA) configuration, specify which Panorama peer can receive logs. To access 
these options, select Panorama > Setup > Management, edit the Logging and Reporting Settings, and select the 
Log Export and Reporting tab.
 Define the log forwarding mode on the firewall: The firewalls can forward logs to Panorama (pertains to 
both the M‐Series appliance and the Panorama virtual appliance) in either Buffered Log Forwarding mode 
or in the Live Mode Log Forwarding mode.

Logging Options Description

Buffered Log Forwarding from Allows each managed firewall to buffer logs and send the logs at 30‐second 

Device intervals to Panorama (not user configurable).
Default: Enabled  Buffered log forwarding is very valuable when the firewall loses connectivity to 
It is a best practice to select  Panorama. The firewall buffers log entries to its local hard disk and keeps a 
the Buffered Log Forwarding pointer to record the last log entry that was sent to Panorama. When 
from Device option. connectivity is restored the firewall resumes forwarding logs from where it left 
off.
The disk space available for buffering depends on the log storage quota for the 
platform and the volume of logs that are pending roll over. If the firewall was 
disconnected for a long time and the last log forwarded was rolled over, all the 
logs from its local hard disk will be forwarded to Panorama on reconnection. If 
the available space on the local hard disk of the firewall is consumed, the oldest 
entries are deleted to allow logging of new events.

Live Mode Log Forwarding from In live mode, the managed firewall sends every log transaction to Panorama at 

Device the same time as it records it on the firewall.
This option is enabled when the check 
box for Buffered Log Forwarding
from Device is cleared.

 Define log forwarding preference on a Panorama virtual appliance that is in a high availability (HA) 
configuration:
– When logging to a virtual disk, enable logging to the local disk on the active‐primary Panorama peer 
only. By default, both Panorama peers in the HA configuration receive logs.
– When logging to an NFS, enable the firewalls to send only newly generated logs to a secondary 
Panorama peer, which is promoted to primary, after a failover.

Logging Options Pertains to Description

Only Active Primary Logs to Local Panorama virtual appliance that is  Allows you to configure only the 

Disk logging to a virtual disk and is set  active‐primary Panorama peer to save logs 
Default: Disabled up in a high availability (HA)  to the local disk.
configuration.

146  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Modify Log Forwarding and Buffering Defaults

Logging Options Pertains to Description

Get Only New Logs on Convert to Panorama virtual appliance that is  With NFS logging, when you have a pair of 

Primary mounted to a Network File  Panorama servers configured in a high 
Default: Disabled System (NFS) datastore and is set  availability configuration, only the primary 
up in a high availability (HA)  Panorama peer mounts the NFS datastore. 
configuration Therefore, the firewalls can only send logs 
to the primary Panorama peer, which can 
write to the NFS datastore.
When an HA failover occurs, the Get Only
New Logs on Convert to Primary option 
allows an administrator to configure the 
managed firewalls to send only newly 
generated logs to Panorama. This event is 
triggered when the priority of the 
active‐secondary Panorama is promoted to 
primary and it can begin logging to the NFS. 
This behavior is typically enabled to 
prevent the firewalls from sending a large 
volume of buffered logs when connectivity 
to Panorama is restored after a significant 
period of time.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  147

Copyright © 2007-2015 Palo Alto Networks

Configure Log Forwarding from Panorama to External Destinations Manage Log Collection

Configure Log Forwarding from Panorama to External 
Destinations

Panorama enables you to forward logs to external servers, including syslog, email, and SNMP trap servers. 
Forwarding firewall logs from Panorama reduces the load on the firewalls and provides a reliable and 
streamlined approach to forwarding logs to remote destinations. You can also forward logs that Panorama 
and its managed collectors generate.

To forward firewall logs directly to external services and also to Panorama, see Configure Log 
Forwarding.
For details about all the log collection deployments that Panorama supports, see Log Forwarding 
Options.
On a Panorama virtual appliance running Panorama 5.1 or earlier releases, you can use Secure 
Copy (SCP) commands from the CLI to export the entire log database to an SCP server and import 
it to another Panorama virtual appliance. A Panorama virtual appliance running Panorama 6.0 or 
later releases, and M‐Series appliances running any release, do not support these options because 
the log database on those platforms is too large for an export or import to be practical.

Configure Log Forwarding from Panorama to External Destinations

Step 1 Configure the firewalls to forward logs  Configure Log Forwarding to Panorama.

to Panorama.

Step 2 Configure a server profile for each  1. Select Panorama > Server Profiles and select the type of 

external service that will receive log data. server that will receive the log data: SNMP Trap, Syslog, or 
Email.
2. Configure the server profile. Optionally, you can configure 
separate profiles for different log types and severity levels or 
WildFire verdicts.
•  Configure an SNMP Trap server profile. For details on how 
Simple Network Management Protocol (SNMP) works for 
Panorama and Log Collectors, refer to SNMP Support.
•  Configure a Syslog server profile. If the syslog server 
requires client authentication, use the Panorama >
Certificate Management > Certificates page to create a 
certificate for securing syslog communication over SSL.
•  Configure an Email server profile.

Step 3 Configure destinations for: 1. Select Panorama > Log Settings.

• Firewall logs that a Panorama virtual  2. For System, Correlation, and Threat logs, click each Severity 
appliance collects. level, select the SNMP Trap, Email, or Syslog server profile 
• Logs that Panorama (a virtual  you just created, and click OK.
appliance or M‐Series appliance) and  3. For WildFire logs, click each Verdict, select the SNMP Trap, 
managed collectors generate. Email, or Syslog server profile you just created, and click OK.
4. For Config, HIP Match, and Traffic logs, edit the 
corresponding section, select the SNMP Trap, Email, or 
Syslog server profile you just created, and click OK.

148  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Configure Log Forwarding from Panorama to External Destinations

Configure Log Forwarding from Panorama to External Destinations (Continued)

Step 4 (M‐Series appliance only) Configure  1. Select Panorama > Collector Groups and select the Collector 

destinations for firewall logs that an  Group that receives the firewall logs.
M‐Series appliance in Panorama or Log  2. (SNMP trap forwarding only) Select the Monitoring tab and 
Collector mode collects. configure the settings.
Each Collector Group can 
3. Select the Collector Log Forwarding tab.
forward logs to different 
destinations. If the Log Collectors  4. For each log Severity level in the System, Threat, and 
are local to a high availability (HA)  Correlation tabs, click a cell in the SNMP Trap, Email Profile, 
pair of M‐Series appliances in  or Syslog Profile column, and select the server profile you just 
Panorama mode, you must log  created.
into each HA peer to configure  5. In the Config, HIP Match, and Traffic tabs, select the SNMP
log forwarding for its Collector  Trap, Email, or Syslog server profile you just created.
Group.
6. For each Verdict in the WildFire tab, click a cell in the SNMP 
Trap, Email Profile, or Syslog Profile column, and select the 
server profile you just created.
7. Click OK to save your changes to the Collector Group.

Step 5 (Syslog forwarding only) If the syslog  Perform the following steps for each Dedicated Log Collector:

server requires client authentication and  1. Select Panorama > Managed Collectors and select the Log 
the firewalls forward logs to Dedicated  Collector.
Log Collectors, assign a certificate that 
secures syslog communication over SSL. 2. In the General tab, select the Certificate for Secure Syslog 
and click OK.

Step 6 (SNMP trap forwarding only) Enable your  Load the Supported MIBs and, if necessary, compile them. For the 

SNMP manager to interpret traps. specific steps, refer to the documentation of your SNMP manager.

Step 7 Commit your configuration changes. 1. Click Commit, set the Commit Type to Panorama, and click 

Commit again.
2. Click Commit, set the Commit Type to Device Group, select all 
the device groups of the firewalls from which Panorama 
collects logs, Include Device and Network Templates, and 
click Commit again.
3. (M‐Series appliance only) Click Commit, set the Commit Type 
to Collector Group, select the Collector Group you just 
configured to forward logs, and click Commit again.

Step 8 Verify the external services are receiving  •  Email server—Verify that the specified recipients are receiving 

logs from Panorama. logs as email notifications.
•  Syslog server—Refer to the documentation for your syslog server 
to verify it is receiving logs as syslog messages.
•  SNMP manager—Use an SNMP Manager to Explore MIBs and 
Objects to verify it is receiving logs as SNMP traps.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  149

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Log Collection Deployments

The following topics describe how to configure log collection in the most typical deployments.

The deployments in these topics all describe Panorama in a high availability (HA) configuration. 
Palo Alto Networks recommends HA because it enables automatic recovery (in case of server 
failure) of components that are not saved as part of configuration backups. In HA deployments, 
the Panorama management server only supports an active/passive configuration.

 Plan a Log Collection Deployment
 Deploy Panorama with Dedicated Log Collectors
 Deploy Panorama with Default Log Collectors
 Deploy Panorama Virtual Appliances with Local Log Collection

Plan a Log Collection Deployment

 Panorama and Log Collector Platforms
 Collector Groups with Single or Multiple Log Collectors
 Log Forwarding Options

Panorama and Log Collector Platforms

Decide which Panorama Platforms to use for the Panorama management server and Log Collectors based 
on the geographic distribution of managed firewalls, logging rate, and log retention requirements.

If you initially implement log collection using the default Log Collectors but later require more 
storage or higher logging rates than these support, you can switch to a deployment with 
Dedicated Log Collectors (M‐Series appliances in Log Collector mode). You can also implement a 
hybrid deployment that includes both default and Dedicated Log Collectors. However, if you 
initially implement log collection using Dedicated Log Collectors, you will lose logs if you later 
switch to a deployment that involves only the default Log Collectors because of the reduced 
storage capacity.

If you deploy firewalls remotely, consider the bandwidth requirement for the connection between the 
firewalls and Panorama, in addition to whether Panorama supports the required logging rate. Deploying 
Dedicated Log Collectors close to the firewalls can increase the bandwidth for log forwarding.
The following table summarizes your choice of Log Collector when considering the rate at which it receives 
firewall logs.

150  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Logging Rate Log Collector

Up to 10,000  Depends on the Panorama management server:
logs/second •  Virtual appliance—Panorama collects logs without any Log Collector. Panorama running on 
VMware vCloud Air or ESXi 5.5 and later versions can support a virtual disk of up to 8TB. 
Earlier versions of the ESXi server support a virtual disk of up to 2TB. You can add an NFS 
datastore for more than 8TB of storage.
•  M‐Series appliance—Local predefined (default) Log Collector. Each M‐100 appliance can 
store up to 4TB of log data; each M‐500 appliance can store up to 8TB of log data.

Up to 30,000  M‐100 appliance in Log Collector Mode. Each M‐100 appliance can process up to 30,000 
logs/second logs/second and store up to 4TB of log data.

Up to 60,000  M‐500 appliance in Log Collector Mode. Each M‐500 appliance can process up to 60,000 
logs/second logs/second and store up to 8TB of log data.

Collector Groups with Single or Multiple Log Collectors

You can configure a Collector Group with multiple Log Collectors to ensure log redundancy, increase the log 
retention period, or accommodate logging rates that exceed the capacity of a single Log Collector (see 
Panorama Platforms for capacity information). To understand the requirements, risks and recommended 
mitigations, see Caveats for a Collector Group with Multiple Log Collectors.

All the Log Collectors in any particular Collector Group must be the same platform: all M‐500 appliances or all 
M‐100 appliances. Log redundancy is available only if each Log Collector has the same number of logging disks.

Log Forwarding Options

By default, each firewall stores its log files locally. To use Panorama for centralized log monitoring and report 
generation, you must Configure Log Forwarding to Panorama. You can also Configure Log Forwarding from 
Panorama to External Destinations for archiving, notification, or analysis. When forwarding from Panorama, 
you can include the System and Config logs that Panorama and its Log Collectors generate. External services 
include syslog servers, email servers, or SNMP trap servers. The firewall, Panorama virtual appliance, or 
M‐Series appliance that forwards the logs to external services converts the logs to the appropriate format 
(syslog message, email notification, or SNMP trap).
Palo Alto Networks firewalls and Panorama support the following log forwarding options:
 Forward logs from firewalls to Panorama and from Panorama to external services—This configuration is 
best for deployments in which the connections between firewalls and external services have insufficient 
bandwidth to sustain the logging rate, which is often the case when the connections are remote. This 
configuration improves firewall performance by offloading some processing to Panorama.

You can configure each Collector Group to forward logs to different destinations.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  151

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Figure: Log Forwarding to Panorama and then to External Services

 Forward logs from firewalls to Panorama and to external services in parallel—In this configuration, both 
Panorama and the external services are endpoints of separate log forwarding flows; the firewalls don’t 
rely on Panorama to forward logs to external services. This configuration is best for deployments in which 
the connections between firewalls and external services have sufficient bandwidth to sustain the logging 
rate, which is often the case when the connections are local.

Figure: Log Forwarding to External Services and Panorama in Parallel

 Forward logs from firewalls directly to external services and also from Panorama to external services—
This configuration is a hybrid of the previous two and is best for deployments that require sending syslog 
messages to multiple Security Information and Event Management (SIEM) solutions, each with its own 
message format (for example, Splunk and ArcSight). This duplicate forwarding doesn’t apply to SNMP 
traps or email notifications.

Deploy Panorama with Dedicated Log Collectors

The following figures illustrate Panorama in a Distributed Log Collection Deployment. In these examples, the 
Panorama management server comprises two M‐Series appliances in Panorama mode that are deployed in 
an active/passive high availability (HA) configuration. Alternatively, you can use an HA pair of Panorama 

152  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

virtual appliances. The firewalls send logs to Dedicated Log Collectors (M‐Series appliances in Log Collector 
mode). This is the recommended configuration if the firewalls generate over 10,000 logs/second. (For details 
on deployment options, see Plan a Log Collection Deployment.)

If you will assign more than one Log Collector to a Collector Group, see Caveats for a Collector Group with 
Multiple Log Collectors to understand the requirements, risks, and recommended mitigations.

Figure: Single Dedicated Log Collector Per Collector Group

Figure: Multiple Dedicated Log Collectors Per Collector Group

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  153

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Perform the following steps to deploy Panorama with Dedicated Log Collectors. Skip any steps you have 
already performed (for example, the initial setup).

Deploy Panorama with Dedicated Log Collectors

Step 1 Perform the initial setup of the  For each M‐Series appliance:

Panorama management server (virtual  1. Rack mount the M‐Series appliance. Refer to the M‐100 or 
appliances or M‐Series appliances) and  M‐500 Hardware Reference Guide for instructions.
the Dedicated Log Collectors.
2. Perform Initial Configuration of the M‐Series Appliance.
To reduce the traffic load on the management (MGT) 
interface and to improve security for management 
traffic, Palo Alto Networks recommends configuring 
Panorama to use the Eth1 and Eth2 interfaces for log 
collection and Collector Group communication. You 
define these interfaces during initial configuration of 
the Panorama management server.
3. Configure each disk pair. This task is required to make the 
RAID disks available for logging. Optionally, you can add disks 
to Increase Storage on the M‐Series Appliance.
4. Register Panorama and Install Licenses.
5. Install Content and Software Updates for Panorama.
For each virtual appliance (if any):
1. Install the Panorama Virtual Appliance.
2. Perform Initial Configuration of the Panorama Virtual 
Appliance.
3. Register Panorama and Install Licenses.
4. Install Content and Software Updates for Panorama.
For the Panorama management server (virtual appliance or 
M‐Series appliance), you must also Set Up HA on Panorama.

154  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Dedicated Log Collectors (Continued)

Step 2 Switch from Panorama mode to Log  1. Connect to the M‐Series appliance in one of the following 

Collector mode on each M‐Series  ways:
appliance that will be a Dedicated Log  •  Attach a serial cable from your computer to the Console 
Collector. port on the M‐Series appliance. Then use terminal 
Switching the mode of an  emulation software (9600‐8‐N‐1) to connect. 
M‐Series appliance deletes any  •  Use terminal emulation software such as PuTTY to open an 
existing log data and deletes all  SSH session to the IP address that you specified for the 
configurations except the  MGT interface of the M‐Series appliance during initial 
management access settings.  configuration.
After the switch, the M‐Series 
2. Log in to the CLI when prompted. Use the default admin 
appliance retains CLI access but 
account and the password that you specified during initial 
loses web interface access.
configuration.
3. Switch to Log Collector mode by entering the following 
command: 
> request system system-mode logger
4. Enter Y to confirm the mode change. The M‐Series appliance 
reboots. If the reboot process terminates your terminal 
emulation software session, reconnect to the M‐Series 
appliance to see the Panorama login prompt.
If you see a CMS Login prompt, this means the Log 
Collector has not finished rebooting. Press Enter at the 
prompt without typing a username or password.
5. Log back in to the CLI.
6. Verify that the switch to Log Collector mode succeeded:
> show system info | match system-mode
If the mode change succeeded, the output displays:
system-mode: logger

Step 3 Record the serial number of each Log  1. At the CLI of each Log Collector, enter the following command 

Collector. to display its serial number.
You need the serial numbers to add the  > show system info | match serial
Log Collectors as managed collectors on  2. Record the serial number.
the Panorama management server.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  155

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Deploy Panorama with Dedicated Log Collectors (Continued)

Step 4 Add each Log Collector as a managed  Use the web interface of the primary Panorama management 

collector. server peer to Configure a Managed Collector:
1. Select Panorama > Managed Collectors and Add the 
managed collector. 
2. In the General tab, enter the serial number (Collector S/N) 
you recorded for the Log Collector.
3. Enter the IP address or FQDN of the active and passive 
Panorama HA peers in the Panorama Server IP field and 
Panorama Server IP 2 field respectively. These fields are 
required.
4. Select Management and configure one or both of the 
following field sets for the MGT interface based on the IP 
protocols of your network.
•  IPv4—IP Address, Netmask, and Default Gateway
•  IPv6—IPv6 Address/Prefix Length and Default IPv6
Gateway
5. (Optional) In the Management Interface Services section, 
select SNMP if you will use an SNMP manager to monitor Log 
Collector statistics.
Using SNMP requires additional steps besides configuring the 
Log Collector (see Monitor Panorama and Log Collector 
Statistics Using SNMP).
6. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again. This step is required before you can 
enable logging disks on the Log Collectors.
7. Verify that the Panorama > Managed Collectors page lists the 
Log Collector you added. The Connected column displays a 
check mark to indicate that the Log Collector is connected to 
Panorama. You might have to wait a few minutes before the 
page displays the updated connection status.
At this point, the Configuration Status column displays 
Out of Sync and the Run Time Status column displays 
disconnected. The status will change to In Sync and 
connected after you configure a Collector Group 
(Step 9).

Step 5 Enable connectivity between each Log  Enter the following commands at the CLI of each Log Collector. 

Collector and the Panorama  <IPaddress1> is for the MGT interface of the active Panorama and 
management server. <IPaddress2> is for the MGT interface of the passive Panorama.
This step is required before you can  > configure
enable logging disks on the Log  # set deviceconfig system panorama-server
<IPaddress1> panorama-server-2 <IPaddress2>
Collectors. # commit
# exit

156  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Dedicated Log Collectors (Continued)

Step 6 Enable the logging disks on each Log  Use the web interface of the primary Panorama management 

Collector. server peer to perform these steps:
1. Select Panorama > Managed Collectors and edit the Log 
Collector.
2. Select Disks and Add each disk pair.
3. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again.

Step 7 (Optional) Configure the Eth1 and/or  Use the web interface of the primary Panorama management 

Eth2 interfaces if the Log Collectors will  server peer to perform these steps for each Log Collector:
use them for log collection and Collector  1. Select Panorama > Managed Collectors and edit the Log 
Group communication. Collector.
These interfaces are available only if you 
2. Configure the network settings of the Eth1 and/or Eth2 
configured them for the Panorama 
interfaces. For each interface, select the corresponding tab 
management server during initial 
and configure one or both of the following field sets based on 
configuration.
the IP protocols of your network.
Palo Alto Networks recommends 
•  IPv4—IP Address, Netmask, and Default Gateway
using Eth1 and/or Eth2 to reduce 
the traffic load on the MGT  •  IPv6—IPv6 Address/Prefix Length and Default IPv6
interface and to improve security  Gateway
for management traffic. 3. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again. This step is required before you can assign 
the Eth1 and Eth2 interfaces to logging functions.
4. Select Panorama > Managed Collectors and edit the Log 
Collector.
5. Select the interfaces (MGT, Eth1, or Eth2) that the Log 
Collector will use for Device Log Collection and Collector
Group Communication (default is MGT).
6. Click OK to save your changes.

Step 8 Add a Firewall as a Managed Device. Use the web interface of the primary Panorama management 

server peer to perform this task for each firewall that will forward 
logs to Log Collectors.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  157

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Deploy Panorama with Dedicated Log Collectors (Continued)

Step 9 Configure the Collector Group. Use the web interface of the primary Panorama management 

If each Collector Group will have one Log  server peer to Configure a Collector Group:
Collector, repeat this step for each  1. Select Panorama > Collector Groups, click Add, and enter a 
Collector Group before continuing. Name for the Collector Group.
If you will assign all the Log Collectors to  If you add multiple Log Collectors to a single Collector 
one Collector Group, perform this step  group, Enable log redundancy across collectors as a 
only once. best practice. For redundancy, each Log Collector 
requires the same number of disks.
2. (Optional) Select the Monitoring tab and configure the 
settings if you will use SNMP to monitor Log Collector 
statistics and traps.
3. Select the Device Log Forwarding tab and, in the Collector 
Group Members section, assign one or more Log Collectors.
All the Log Collectors for any particular Collector 
Group must be the same platform: all M‐100 
appliances or all M‐500 appliances.
4. In the Log Forwarding Preferences section, assign firewalls 
according to the number of Log Collectors in this Collector 
Group:
•  Single—Assign the firewalls that will forward logs to that 
Log Collector, as illustrated in Figure: Single Dedicated Log 
Collector Per Collector Group.
•  Multiple—Assign each firewall to both Log Collectors for 
redundancy. When you configure the preferences, make 
Log Collector 1 the first priority for half the firewalls and 
make Log Collector 2 the first priority for the other half, as 
illustrated in Figure: Multiple Dedicated Log Collectors Per 
Collector Group.
5. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again.
6. Click Commit, set the Commit Type to Collector Group, select 
the Collector Groups you added, and click Commit again.
7. Select Panorama > Managed Collectors to verify that the Log 
Collector configuration is synchronized with Panorama.
The Configuration Status column should display In Sync and 
the Run Time Status column should display connected.

Step 10 Configure log forwarding. Use the web interface of the primary Panorama management 

server peer to:
1. Configure Log Forwarding to Panorama.
2. Verify Log Forwarding to Panorama.
3. (Optional) Configure Log Forwarding from Panorama to 
External Destinations.

158  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Default Log Collectors

The following figures illustrate Panorama in a centralized log collection deployment. In these examples, the 
Panorama management server comprises two M‐Series appliances in Panorama mode that are deployed in 
an active/passive high availability (HA) configuration. The firewalls send logs to the predefined (default) local 
Log Collector on each Panorama M‐Series appliance. This is the recommended deployment if the firewalls 
generate up to 10,000 logs/second. (For details on deployment options, see Plan a Log Collection 
Deployment.)

If you will assign more than one Log Collector to a Collector Group, see Caveats for a Collector Group with 
Multiple Log Collectors to understand the requirements, risks, and recommended mitigations.
After implementing this deployment, if the logging rate increases beyond 10,000 logs per second, Palo Alto 
Networks recommends that you add Dedicated Log Collectors (M‐Series appliances in Log Collector mode) as 
described in Deploy Panorama with Dedicated Log Collectors. Such an expansion might require reassigning 
firewalls from the default Log Collectors to Dedicated Log Collectors.

Figure: Single Default Log Collector Per Collector Group

Figure: Multiple Default Log Collectors Per Collector Group

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  159

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Perform the following steps to deploy Panorama with default Log Collectors. Skip any steps you have already 
performed (for example, the initial setup).

Deploy Panorama with Default Log Collectors

Step 1 Perform the initial setup of each  1. Rack mount the M‐Series appliance. Refer to the M‐100 or 

M‐Series appliance. M‐500 Hardware Reference Guide for instructions.
2. Perform Initial Configuration of the M‐Series Appliance.
To reduce the traffic load on the management (MGT) 
interface and to improve security for management 
traffic, Palo Alto Networks recommends configuring 
Panorama to use the Eth1 and Eth2 interfaces for log 
collection and Collector Group communication.
3. Configure each disk pair. This task is required to make the 
RAID disks available for logging. Optionally, you can add disks 
to Increase Storage on the M‐Series Appliance.
4. Register Panorama and Install Licenses.
5. Install Content and Software Updates for Panorama.
6. Set Up HA on Panorama.

160  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Default Log Collectors (Continued)

Step 2 Perform the following steps to prepare  1. Connect to the primary Panorama in one of the following 

Panorama for log collection. ways:
•  Attach a serial cable from your computer to the Console 
port on the primary Panorama. Then use terminal emulation 
software (9600‐8‐N‐1) to connect. 
•  Use terminal emulation software such as PuTTY to open an 
SSH session to the IP address that you specified for the 
MGT interface of the primary Panorama during initial 
configuration.
2. Log in to the CLI when prompted. Use the default admin 
account and the password that you specified during initial 
configuration.
3. Enable the primary Panorama to connect to the secondary 
Panorama by entering the following command, where 
<IPaddress2> represents the MGT interface of the secondary 
Panorama:
> configure
# set deviceconfig system panorama-server
<IPaddress2>
# commit
4. Log in to the CLI of the secondary Panorama.
5. Enable the secondary Panorama to connect to the primary 
Panorama by entering the following command, where 
<IPaddress1> represents the MGT interface of the primary 
Panorama:
> configure
# set deviceconfig system panorama-server
<IPaddress1>
# commit
# exit
6. In the CLI of the secondary Panorama, enter the following 
command to display the serial number, and then record it:
> show system info | match serial
You need the serial number to add the Log Collector of the 
secondary Panorama as a managed collector to the primary 
Panorama.

Step 3 Edit the Log Collector that is local to the  Use the web interface of the primary Panorama to perform these 

primary Panorama. steps:
1. Select Panorama > Managed Collectors and select the 
default Log Collector.
2. (Optional) Select the interfaces (MGT, Eth1, or Eth2) to use for 
Device Log Collection and Collector Group Communication. 
By default, Panorama uses the MGT interface for these 
functions.
The Eth1 and Eth2 interfaces are available only if you 
configured them for the Panorama management 
server during initial configuration.
3. Select Disks and Add each logging disk pair.
4. Click OK to save your changes.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  161

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Deploy Panorama with Default Log Collectors (Continued)

Step 4 Configure the Log Collector that is local  Use the web interface of the primary Panorama to Configure a 

to the secondary Panorama. Managed Collector:
Panorama treats this Log  1. Select Panorama > Managed Collectors and Add the Log 
Collector as remote because it’s  Collector.
not local to the primary 
2. Enter the serial number (Collector S/N) you recorded for the 
Panorama. Therefore you must 
Log Collector of the secondary Panorama.
manually add it on the primary 
Panorama. 3. Enter the IP address or FQDN of the primary and secondary 
Panorama HA peers in the Panorama Server IP field and 
Panorama Server IP 2 field respectively. These fields are 
required.
4. Configure the network settings of each interface that the Log 
Collector will use. The Management interface is required. If 
you configured the Panorama management server to use the 
Eth1 and Eth2 interfaces, configure these interfaces on the 
Log Collector also.
For each interface, select the corresponding tab and configure 
one or both of the following field sets based on the IP 
protocols of your network.
•  IPv4—IP Address, Netmask, and Default Gateway
•  IPv6—IPv6 Address/Prefix Length and Default IPv6
Gateway
5. (Optional) For the Management interface, select SNMP if you 
will use an SNMP manager to monitor Log Collector statistics.
Using SNMP requires additional steps besides configuring the 
Log Collector (see Monitor Panorama and Log Collector 
Statistics Using SNMP).
6. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again. This step is required before you can 
enable logging disks or assign the Eth1 and Eth2 interfaces to 
logging functions.
7. (Optional) Select Panorama > Managed Collectors, edit the 
Log Collector, and select the interfaces (MGT, Eth1, or Eth2) 
that it will use for Device Log Collection and Collector Group
Communication (default is MGT).
8. Select Disks and Add each RAID disk pair.
9. Click OK and Commit, set the Commit Type to Panorama, and 
click Commit again.

Step 5 Add a Firewall as a Managed Device. Use the web interface of the primary Panorama to perform this 

task for each firewall that will forward logs to the Log Collectors.

162  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Default Log Collectors (Continued)

Step 6 Edit the default Collector Group that is  Use the web interface of the primary Panorama to Configure a 

predefined on the primary Panorama. Collector Group:
1. Select Panorama > Collector Groups and select the default 
Collector Group.
If you add multiple Log Collectors to a single Collector 
group, Enable log redundancy across collectors as a 
best practice.
2. (Optional) Select the Monitoring tab and configure the 
settings if you will use SNMP to monitor Log Collector 
statistics and traps.
3. Select Device Log Forwarding. The Collector Group Members 
section displays the local Log Collector of the primary 
Panorama because it is pre‐assigned to the default Collector 
Group. Optionally, Add the local Log Collector of the 
secondary Panorama.
4. In the Log Forwarding Preferences section, assign firewalls 
according to the number of Log Collectors in this Collector 
Group:
•  Single—Assign the firewalls that will forward logs to the 
default Log Collector of the primary Panorama, as 
illustrated in Figure: Single Default Log Collector Per 
Collector Group.
•  Multiple—Assign each firewall to both Log Collectors for 
redundancy. When you configure the preferences, make 
Log Collector 1 the first priority for half the firewalls and 
make Log Collector 2 the first priority for the other half, as 
illustrated in Figure: Multiple Default Log Collectors Per 
Collector Group.
5. Click OK to save your changes.

Step 7 Configure a Collector Group that  Use the web interface of the primary Panorama to Configure a 

contains the Log Collector of the  Collector Group:
secondary Panorama. 1. Select Panorama > Collector Groups and Add the Collector 
Required if each Collector Group has  Group.
only one Log Collector.
2. Enter a Name to identify the Collector Group.
3. (Optional) Select the Monitoring tab and configure the 
settings if you will use an SNMP manager to monitor Log 
Collector statistics and traps.
4. Select the Device Log Forwarding tab and, in the Collector 
Group Members section, Add the default Log Collector of the 
secondary Panorama.
5. In the Log Forwarding Preferences section, assign the firewalls 
that will forward logs to the default Log Collector of the 
secondary Panorama, as illustrated in Figure: Single Default 
Log Collector Per Collector Group.
6. Click OK to save your changes.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  163

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Deploy Panorama with Default Log Collectors (Continued)

Step 8 Commit your changes. Use the web interface of the primary Panorama to perform the 

following steps:
1. Click Commit, for the Commit Type select Panorama, and 
click Commit again.
2. Click Commit, for the Commit Type select Collector Group, 
select the Collector Groups you added, and click Commit 
again.

Step 9 Manually fail over so that the secondary  Use the web interface of the primary Panorama to perform the 

Panorama becomes active. following steps:
1. Select Panorama > High Availability.
2. Click Suspend local Panorama in the Operational Commands 
section.

Step 10 On the secondary Panorama, configure  Use the web interface of the secondary Panorama to perform the 

the network settings of the Log Collector  following steps:
that is local to the primary Panorama. 1. In the Panorama web interface, select Panorama > Managed
Collectors and select the Log Collector that is local to the 
primary Panorama.
2. Enter the IP address or FQDN of the secondary Panorama in 
the Panorama Server IP field and the IP address or FQDN of 
the primary Panorama in the Panorama Server IP 2 field. 
These fields are required.
3. Select the Management tab and complete one or both of the 
following field sets (depending on the IP protocols of your 
network) with the management interface values of the 
primary Panorama:
•  IPv4—IP Address, Netmask, and Default Gateway
•  IPv6—IPv6 Address/Prefix Length and Default IPv6
Gateway
4. Click OK and Commit, for the Commit Type select Panorama, 
and click Commit again. Wait until the HA synchronization 
finishes before proceeding.
5. Click Commit, for the Commit Type select Collector Group, 
select the Collector Groups you added, and click Commit 
again.

Step 11 Manually fail back so that the primary  Use the web interface of the secondary Panorama to perform the 

Panorama becomes active. following steps:
1. Select Panorama > High Availability.
2. Click Suspend local Panorama in the Operational Commands 
section.

164  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Manage Log Collection Log Collection Deployments

Deploy Panorama with Default Log Collectors (Continued)

Step 12 Configure log forwarding. Use the web interface of the primary Panorama to:

1. Configure Log Forwarding to Panorama.
2. Verify Log Forwarding to Panorama.
3. (Optional) Configure Log Forwarding from Panorama to 
External Destinations.
You can configure separate external server profiles for 
different log types and severity levels. You can also 
assign separate profiles to each Panorama HA peer. 
For example, you might want each peer to forward 
logs to a different syslog server. To make each 
Panorama peer forward logs to different external 
services, log in to the web interface of each peer, 
select Panorama > Collector Groups, select the 
Collector Group, select Collector Log Forwarding, 
assign the server profiles, and click OK.

Deploy Panorama Virtual Appliances with Local Log Collection

The following figure illustrates Panorama in a centralized log collection deployment. In this example, the 
Panorama management server comprises two Panorama virtual appliances that are deployed in an 
active/passive high availability (HA) configuration. This configuration suits firewall management within a 
VMware virtual infrastructure in which Panorama processes up to 10,000 logs/second. (For details on 
deployment options, see Plan a Log Collection Deployment.) The firewalls send logs to the Panorama 
management server (to its virtual disk or Network File System [NFS] datastore). By default, the active and 
passive peers both receive logs, though you can Modify Log Forwarding and Buffering Defaults so that only 
the active peer does. By default, the Panorama virtual appliance uses approximately 11GB on its internal disk 
partition for log storage, though you can Expand Log Storage Capacity on the Panorama Virtual Appliance if 
necessary.

If the logging rate increases beyond 10,000 logs per second, it is recommended that you add 
Dedicated Log Collectors (M‐Series appliances in Log Collector mode). Deploy Panorama with 
Dedicated Log Collectors describes a deployment with Dedicated Log Collectors managed by 
Panorama virtual appliances or by M‐Series appliances in Panorama mode.

© Palo Alto Networks, Inc. Panorama 7.1 Administrator’s Guide  •  165

Copyright © 2007-2015 Palo Alto Networks

Log Collection Deployments Manage Log Collection

Figure: Panorama Virtual Appliances with Local Log Collection

Perform the following steps to deploy Panorama virtual appliances with local log collection. Skip any steps 
you have already performed (for example, the initial setup).

Deploy Panorama Virtual Appliances with Local Log Collection 

Step 1 Perform the initial setup of each  1. Install the Panorama Virtual Appliance.

Panorama virtual appliance. 2. Perform Initial Configuration of the Panorama Virtual 
Appliance.
3. Register Panorama and Install Licenses.
4. Install Content and Software Updates for Panorama.
5. Set Up HA on Panorama.

Step 2 Perform the following steps to prepare  1. Add a Firewall as a Managed Device for each one that will 

Panorama for log collection. forward logs to Panorama.
2. Configure Log Forwarding to Panorama.
3. (Optional) Configure Log Forwarding from Panorama to 
External Destinations.

Step 3 Commit your changes. Click Commit, for the Commit Type select Panorama, and click 

Commit again.

166  •  Panorama 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks