Comprobar el estado de realización de las reglas

Se pueden crear, actualizar y eliminar reglas de DFW mediante la interfaz de usuario y la API.

Estado de realización de reglas en la interfaz de usuario

Para ver el estado de realización de reglas para las directivas de firewall de puerta de enlace y DFW, desplácese a Seguridad > Firewall distribuido o Seguridad Firewall de puerta de enlace y comprobar el estado de realización de la regla notificado por los nodos de transporte.

Existen cuatro valores posibles para el estado de realización de reglas:

Correcto
Error
En curso
Desconocido

Estado de realización de reglas a través de API

Si se creó la regla y se aplicó a los nodos relevantes, el estado de realización puede ser comprobado por las siguientes API del administrador de directivas.

Para comprobar el estado de realización de todas las entidades creadas en el administrador de directivas, ejecute el comando: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities El estado realizado del objeto debería ser "REALIZADO" y "runtime_status" debe ser "CORRECTO"

Por ejemplo, la consulta para comprobar el estado realizado de <e2d4c010-96c8-11e9-8c0a-f7581ab92530> de la directiva de seguridad en el nivel de administrador de directivas es <f96f27c0-92b8-11e9-96af-b5e746a259e7> is GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Para comprobar el estado realizado general de la sección de todas las reglas de una sección del hipervisor, ejecute el comando: GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Existen cuatro valores posibles para el estado consolidado:

Correcto
Error
En curso
Desconocido

Tabla 1. Estado consolidado
Estado general del nodo de transporte 1	Estado general del nodo de transporte 2	Estado consolidado
ERROR	ERROR	ERROR
ERROR	IN_PROGRESS	ERROR
ERROR	DESCONOCIDO	ERROR
IN_PROGRESS	IN_PROGRESS	IN_PROGRESS
IN_PROGRESS	DESCONOCIDO	IN_PROGRESS
CORRECTO	CORRECTO	CORRECTO
CORRECTO	ERROR	ERROR
CORRECTO	IN_PROGRESS	IN_PROGRESS
CORRECTO	DESCONOCIDO	DESCONOCIDO
DESCONOCIDO	DESCONOCIDO	DESCONOCIDO