カスタムの構成方法 Syslog 送信者とテスト ユーザー マッピング
Resolution
パン-OS 6.0、6.1
概要
PAN-OS 6.0 は、syslog リスナーとしてパロアルトネットワークファイアウォールを使用して導入された、異なるネットワーク要素から syslogs のコレクションを有効にし、セキュリティルールとポリシーで使用することができる IP アドレスにユーザーをマッピングします。
この機能がデバイスで有効になっている場合、syslog リスナは自動的に設定され、UDP として選択された場合はポート514でリッスンします。ログの暗号化に SSL を使用するように構成されている場合、ポート6514のリスナが作成されます。 このオプションは、ファイアウォールのみに限定されるものではなく、Windows サーバーにインストールされているユーザー ID エージェントでも構成できます。 Windows エージェントは、SSL UDP と TCP のみを実行しません (両方の 514)。
このドキュメントでは、パロアルトネットワークファイアウォールでカスタムフィルタを作成する方法について説明します。
注:アプリケーションコンテンツバージョン418から、パロアルトネットワークは事前 syslog 送信者 (フィルタと呼ばれる) のリストが含まれています。アプリケーションの更新は、web UI (デバイス > 動的更新) からダウンロードしてインストールできます。
要件:
- syslog 送信者ログの知識。
- 送信者の IP アドレスの知識。
- ログの配信方法に関する知識 (暗号化または暗号化されていない)
- ユーザーが接続しているドメインの知識、およびログイン時に "ドメイン \" 表記を使用する場合。
- フィールド識別子または Regex 識別子の使用の決定
このドキュメントでは、このセットアップの構成をファイアウォール上で直接説明します。ただし、同じフィールドが同じ方法で構成されているため、ユーザー ID エージェントで構成を実行する場合は、手順は同じです。
手順
ログの分析
ログのセクションを取り、ユーザー ip マッピングに必要なフィールドを決定します。これには常に、ユーザー名、IP アドレス、フィールドに必要な区切り記号、および "イベント文字列" を含める必要があります。イベント文字列は、ユーザーが正常にログインしたことをファイアウォールに通知し、ユーザー名と ip アドレスの両方を収集してから、ユーザ ip マッピングデータベースに記録する必要があります。
次の syslog の例は、アルバのワイヤレスコントローラからのログを示しています。
2013-03-20 12:56:53 local4 アルバ-Local3 認証マネージャ [1568]: ユーザー認証が成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = ilija MAC = 78: f5: fd: dd: ff:90 IP = 10.200.27.67</Aruba-Local3> </NOTI> </522008>
2013-03-20 12:56:53 local4. 通知アルバ-Local3 認証マネージャ [1568]: ユーザー認証に成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = jovan MAC = 78: f5: fd: dd: ff:90 IP = 10.200.27.68 の役割 = 必要-STAFF_UR VLAN = 472 AP = 00: 1a: 1e: c5:13: c0 SSID = 必須-DOT1X AAA プロファイル =DOT1X_AAAP 認証方式 = 802.1 x 認証サーバ = スタッフ</Aruba-Local3></NOTI> </522008>
2013-03-20 12:56:57 local4 通知アルバ-Local3 認証マネージャ [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">ユーザー認証の成功: ユーザ名 = 1209853ab111018 MAC = c0: 9f:42: b4: c5:78 IP = 10.200.36.176 ロール = ゲスト VLAN = 436 AP = 00: 1a: 1e: c5:13: ee の SSID = ゲスト AAA プロファイル = ゲスト認証方法 = Web 認証サーバー = ゲスト</Aruba-Local3></NOTI> </522008>
2013-03-20 12:57:13 local4 通知アルバ-Local3 認証マネージャ [1568]: ユーザー認証が成功しました<522008> <NOTI> <Aruba-Local3 10.200.10.10="">: ユーザ名 = 1109853ab111008 MAC = 00:88:65: c4:13:55 IP = 10.200.40.201 の役割 = ゲスト VLAN = 440 AP = 00: 1a: 1e: c5: ed:11 SSID = ゲスト AAA プロファイル = ゲスト認証方法 = Web 認証サーバー = ゲスト</Aruba-Local3></NOTI> </522008>
上記のログサンプル (単純な syslog 出力) の解析から、解析はフィールド識別子を使用して処理できます。
- イベント文字列の場合は、"ユーザー認証が成功しました:" という文字列を検索します。
- ユーザー名の接頭辞: "username ="
- ユーザー名の区切り文字の場合: "\s"
- アドレスプレフィックスの場合: "IP ="
- アドレス区切り文字の場合: "\s"
注: 区切り文字が syslog 内の空白スペースである場合、よくある間違いは、区切り文字フィールドに空白または "" を使用することです。これは正しくありません。Regex 識別子が使用されていない場合でも、' \s ' は空白を区切り文字として表すための正しい方法です。ただし、ユーザー ID エージェントで同じ設定を構成する場合、' \s ' が認識されず、デバッグログにエラーが表示されるため、空白を区切り文字として使用する必要があります。
設定
- ファイアウォールリスナに送信される syslog イベントに使用される syslog パーサープロファイルを定義します。
- デバイスへ移動 > ユーザー id > ユーザーマッピング
- 「パロアルトネットワークユーザー ID エージェントのセットアップ」セクションを編集します。
- [syslog フィルタ] タブに移動し、新しい syslog 解析プロファイルを追加します。
- ログの複雑さに応じて、プロファイルの種類 (Regex 識別子またはフィールド識別子) を決定します。
- 上記の分析から決定されたフィールド値を入力します。
- サーバーモニタを構成する
- デバイスへ移動 > ユーザー id > ユーザーマッピング
- [サーバーの監視] セクションで、新しいサーバーモニタを追加します。
- タイプの Syslog 送信者を選択
- Syslog 送信者に適切な設定を選択します (接続の種類、フィルタ (この例では前の手順で作成したもの)、および既定のドメイン名が含まれます。
注:既定のドメイン名が使用されている場合、入力されたドメインは、このサーバー接続を通じて検出されたすべてのユーザーの先頭になります
- すべての設定が完了したら、専用のインターフェイスに接続を確立することができます。
- ネットワークへ移動 > ネットワークプロファイル > インタフェース管理
- 接続の種類に応じて、ユーザー id-syslog-リスナ-UDP またはユーザー id-syslog-リスナ-SSL を選択します。
- 管理プロファイルを [詳細設定] タブの [イーサネットインターフェイス] に接続します。
- ログを生成しているサーバーから接続とパーサーをテストします。
- サーバーの送信者からログを受信しているかどうか、およびファイアウォールでマッピングを生成しているかどうかを確認します。
例:
> ユーザー サーバー モニター状態すべてを表示
UDP Syslog リスナー サービスが有効になっています。
SSL Syslog リスナサービスが無効になっています
プロキシ: ilija-syslog (vsys: vsys1) ホスト: ilija-syslog (10.193.17.29)
ログメッセージの数: 1
認証数 成功のメッセージ: 1
> SYSLOG を入力すべてをユーザー ip ユーザ マッピング
ユーザー IdleTimeout からの IP Vsys MaxTimeout ( s)
--------------- ------ ------- -------------------------------- -------------- -------------
10.200.40.201 vsys1 SYSLOG al. com\1109853ab111008 2696 2696
合計: 1 ユーザー
所有者: ialeksov