ユーザー ID エージェントを使用して Syslog 送信者からユーザー IP マッピングを収集する方法
Resolution
概要
PAN-OS 6.0 は、ネットワーク内の異なるシステムから syslogs を収集し、IP アドレスにユーザーをマップするための syslog リスナーとして、パロアルトネットワークファイアウォールとユーザー ID エージェントを使用する機能を導入しました。ユーザーの IP マッピングは、セキュリティルールとポリシーで使用できます。ファイアウォール上の汎 OS のバージョンとユーザー ID エージェントのバージョンは、少なくとも6.0 である必要があります。
注:ファイアウォール上の PAN-OS のバージョンは、同じまたはユーザー ID エージェントのバージョンよりも高くする必要がありますが、好ましくは同じです。
このドキュメントでは、Windows サーバーにインストールされているユーザー ID エージェントでカスタム syslog 送信者を構成する方法について説明します。パロアルトネットワークファイアウォールの同様の構成については、「カスタム Syslog センダを構成する方法」および「ユーザー マッピングをテストする」を参照してください。
ファイアウォールには、ユーザー ID エージェントの syslog 送信者として事前フィルタを使用する機能がありますが、管理者はネットワークシステムによって生成されたログに応じてフィルタを作成する必要があります。この構成の前提条件として、ユーザー ID エージェントがファイアウォールに接続されており、ユーザー-ip マッピングが接続されたパロアルトネットワークデバイスに送信されていることを前提としています。
追加要件:
- syslog 送信者ログの知識
- 送信者の IP アドレスの知識
- ログの受け入れに使用できるサーバー上の利用可能なポートの知識
- ユーザーが接続しているドメインの知識、およびログイン時に "ドメイン \" 表記を使用している場合
- フィールド識別子または Regex 識別子の使用の決定
手順
ログの分析:
ログのセクションを取り、ユーザー ip マッピングに必要なフィールドを探してみてください。これらのフィールドを含める必要があります。ユーザー名、IP アドレス、区切り記号、および ' イベント文字列 '。イベント文字列は、特定のユーザーが正常にログインしたこと、およびユーザー名と ip アドレスを収集する必要があることをファイアウォールに通知し、それらをユーザ ip マッピングデータベースに追加します。
次の syslog の例は、アルバのワイヤレスコントローラからのログを示しています。
2013-03-20 12:56:53 local4 アルバ-Local3 認証マネージャ [1568]: ユーザー認証が成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = ilija MAC = 78: f5: fd: dd: ff:90 IP = 10.200.27.67</Aruba-Local3> </NOTI> </522008>
2013-03-20 12:56:53 local4. 通知アルバ-Local3 認証マネージャ [1568]: ユーザー認証に成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = jovan MAC = 78: f5: fd: dd: ff:90 IP = 10.200.27.68 の役割 = 必要-STAFF_UR VLAN = 472 AP = 00: 1a: 1e: c5:13: c0 SSID = 必須-DOT1X AAA プロファイル =DOT1X_AAAP 認証方式 = 802.1 x 認証サーバ = スタッフ</Aruba-Local3></NOTI> </522008>
2013-03-20 12:56:57 local4 通知アルバ-Local3 認証マネージャ [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">ユーザー認証の成功: ユーザ名 = 1209853ab111018 MAC = c0: 9f:42: b4: c5:78 IP = 10.200.36.176 ロール = ゲスト VLAN = 436 AP = 00: 1a: 1e: c5:13: ee の SSID = ゲスト AAA プロファイル = ゲスト認証方法 = Web 認証サーバー = ゲスト</Aruba-Local3></NOTI> </522008>
2013-03-20 12:57:13 local4 通知アルバ-Local3 認証マネージャ [1568]: ユーザー認証が成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = 1109853ab111008 MAC = 00:88:65: c4:13:55 IP = 10.200.40.201 の役割 = ゲスト VLAN = 440 AP = 00: 1a: 1e: c5: ed:11 SSID = ゲスト AAA プロファイル = ゲスト認証方法 = Web 認証サーバー = ゲスト</Aruba-Local3></NOTI> </522008>
上記のログサンプル (syslog 出力) の解析から、ファイル化された識別子を使用して解析を処理できます。
- 「ユーザー認証成功」文字列のイベント文字列検索として
- ユーザー名の接頭辞として使用: ' username = '
- ユーザー名の区切り文字として: ' 空のスペース '
- アドレスプレフィックスとして: ' IP = '
- アドレス区切り記号として: ' 空の領域 '
注意: 「空のスペース」とは、キーボードのスペースボタンを使用することを意味します。
構成:
- ファイアウォールリスナに送信される syslog イベントに使用される syslog パーサープロファイルを定義します。
- ユーザー ID エージェントの下に移動: セットアップ > 編集 > Syslog
- 新しい syslog メッセージをリッスンするポートを選択します。
- 新しい Syslog パーサープロファイルを追加する
- 適切なプロファイル名と説明を追加する (必要な場合)
- 適切なタイプのパーサーを選択します (この例ではフィールド識別子が構成されています)。
- 前に行った分析から抑止として詳細を入力します。
- syslog サービスを有効にすることを忘れないでください
完全に構成された syslog フィルタは次のようになります。
- 監視対象サーバーの一覧でサーバーを構成します。
- [ユーザー ID] > [検出] に移動し、新しいサーバーを追加します。
- IP アドレスの名前を入力し、サーバーの種類として syslog 送信者を選択します。
- フィルタ選択を追加し、前の手順で定義したフィルタ
- 必要に応じて既定のドメイン名を追加します (これを追加すると、このサーバー接続を使用して検出されたすべてのユーザーにドメインフィールドが付加されます)。
- ユーザー ID エージェントへの変更をコミットします。
- サーバーが定義されたポートでリッスンしていることを確認します (サーバーの cmd で ' netstat ' コマンドを使用します)。
- サーバーの送信者からログを受信し、ユーザー ID エージェントでマッピングを生成するかどうかを確認します。
- ファイアウォールで、ユーザー ID エージェントからのマッピングを受信するかどうかを確認します。これらのマッピングは、ユーザー id エージェントから収集され、ファイアウォールに与えられているため、ユーザー id エージェントの種類になります。
所有者: ialeksov