Vérification de l'état de réalisation de la règle

Les règles DFW peuvent être créées, mises à jour et supprimées à l'aide de l'interface utilisateur et de l'API.

État de réalisation de la règle sur l'interface utilisateur

Vous pouvez voir l'état de réalisation de la règle pour les stratégies de pare-feu DFW et de passerelle en accédant à Sécurité > Pare-feu distribué ou SécuritéPare-feu de passerelle et en vérifiant l'état de réalisation de la règle signalée par les nœuds de transport.

Il existe quatre valeurs possibles pour l'état de réalisation de la règle :

Réussite
Erreur
En cours d'exécution
Inconnu

État de réalisation de la règle via les API

Si la règle a été créée et appliquée aux nœuds appropriés, l'état de réalisation peut être vérifié par les API de gestionnaire de stratégies suivantes.

Pour vérifier l'état de réalisation de toutes les entités créées dans le gestionnaire de stratégie, exécutez la commande : GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesL'état réalisé de l'objet doit être « RÉALISÉ » et « runtime_status » doit être « RÉUSSI »

Par exemple, la requête pour vérifier l'état réalisé de <e2d4c010-96c8-11e9-8c0a-f7581ab92530> de la stratégie de sécurité au niveau du gestionnaire de stratégie est <f96f27c0-92b8-11e9-96af-b5e746a259e7> is GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Pour vérifier l'état général réalisé de la section de chaque règle dans une section de l'hyperviseur, exécutez la commande : GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Il existe quatre valeurs possibles pour l'état consolidé :

Réussite
Erreur
En cours d'exécution
Inconnu

Tableau 1. État consolidé
État global du nœud de transport 1	État global du nœud de transport 2	État consolidé
ERREUR	ERREUR	ERREUR
ERREUR	EN_COURS	ERREUR
ERREUR	INCONNU	ERREUR
EN_COURS	EN_COURS	EN_COURS
EN_COURS	INCONNU	EN_COURS
RÉUSSITE	RÉUSSITE	RÉUSSITE
RÉUSSITE	ERREUR	ERREUR
RÉUSSITE	EN_COURS	EN_COURS
RÉUSSITE	INCONNU	INCONNU
INCONNU	INCONNU	INCONNU