如何配置自定义日志发件人和测试用户映射

泛 OS 6.0, 6。1

概述

PAN OS 6.0 介绍了使用帕洛阿尔托网络防火墙作为系统日志侦听器, 可以从不同的网络元素收集系统日志, 并将用户映射到 IP 地址, 这可用于安全规则和策略。

在设备上启用了此功能后, 系统将自动配置系统日志侦听器, 如果选定为 UDP, 则将侦听端口514。如果配置为使用 SSL 加密日志, 则将创建端口6514上的侦听器。  此选项不仅限于防火墙, 而且还可以在安装在 Windows 服务器上的用户 ID 代理上进行配置。  Windows 代理不执行 SSL-UDP 和 TCP (两个 514)。

本文档介绍如何在帕洛阿尔托网络防火墙上创建自定义筛选器。

注:从应用程序内容版本 418, 帕洛阿尔托网络包括事先系统日志发件人 (称为筛选器) 的列表. 可以从 web UI (设备 > 动态更新) 下载和安装应用程序更新。

要求︰

• 日志发件人日志的知识。
• 对发件人的 IP 地址的了解。
• 了解如何传递日志 (加密或不加密)
• 对用户正在连接的域的了解, 以及在登录时使用 "域 \" 表示法的知识。
• 使用字段标识符或 Regex 标识符之间的决定

本文档将直接在防火墙上描述此安装程序的配置。但是, 如果配置是在用户 ID 代理上执行的, 则该过程是相同的 (因为相同的字段是以相同的方式配置的)。

步骤

日志分析

采取日志的一部分并确定用户 ip 映射所需的字段。这通常需要包括用户名、IP 地址、字段需要的分隔符以及 "事件字符串"。事件字符串告诉防火墙用户成功登录, 并且需要收集用户名和 ip 地址, 然后将其记录到用户 IP 映射数据库中。

下面的系统日志示例演示一个来自阿鲁巴无线控制器的记录:

2013-03-20 12:56:53 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: 用户名 = ilija MAC=78:f5:fd:dd:ff:90 IP = 10.200.27.67</Aruba-Local3> </NOTI> </522008>

2013-03-20 12:56:53 local4 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户身份验证成功: 用户名 = jovan MAC=78:f5:fd:dd:ff:90 IP = 10.200.27.68 角色 = 必须-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA 配置文件 =MUST-DOT1X_AAAP 授权方法 = 802.1x 授权服务器 = 工作人员</Aruba-Local3></NOTI> </522008>

2013-03-20 12:56:57 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP = 10.200.36.176 角色 = 来宾 VLAN=436 AP=00:1a:1e:c5:13:ee SSID = 客户 AAA 配置文件 = 来宾授权方法 = Web 验证服务器 = 来宾</Aruba-Local3></NOTI> </522008>

2013-03-20 12:57:13 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP = 10.200.40.201 角色 = 来宾 VLAN=440 AP=00:1a:1e:c5:ed:11 SSID = 客户 AAA 配置文件 = 来宾授权方法 = Web 验证服务器 = 来宾</Aruba-Local3></NOTI> </522008>

从上述日志示例 (一个简单的 syslog 输出) 的分析中, 可以使用字段标识符来处理解析。

• 对于事件字符串, 搜索 "用户身份验证成功:" 字符串。
• 对于用户名前缀: "用户名 ="
• 对于用户名分隔符: "\ s"
• 对于地址前缀: "IP ="
• 对于地址分隔符: "\ s"

注意: 当分隔符是日志中的一个空空间时, 常见的错误是在分隔符字段中使用空格或 "". 这是不正确的。即使不使用 Regex 标识符, "\t" 也是将空空间表示为分隔符的正确方法。但是, 在用户 ID 代理上配置相同的设置时, 空白空间必须用作分隔符, 因为 "\t" 无法识别, 并且调试日志中会出现错误。

配置

1. 定义将用于发送到防火墙侦听器的日志事件的日志分析器配置文件。
   1. 转到设备 > 用户标识 > 用户映射
   2. 编辑 "帕洛阿尔托网络用户 ID 代理设置" 部分
   3. 转到 "日志过滤器" 选项卡并添加新的日志分析配置文件
   4. 根据日志的复杂性确定配置文件的类型 (Regex 标识符或字段标识符)
   5. 输入从上面的分析中确定的字段值:
      
2. 配置服务器监视器
   1. 转到设备 > 用户标识 > 用户映射
   2. 在 "服务器监视" 部分下, 添加新的服务器监视器
   3. 选择类型的 "日志发件人"
   4. 为 Syslog 发件人选择适当的设置, 其中包括: 连接类型、筛选器 (在此示例中, 将是在前面的步骤中创建的) 和默认域名。
      注意:如果使用了默认域名, 则输入的域将预置到通过此服务器连接发现的所有用户.
      
3. 当所有设置都完成后, 允许建立到专用接口的连接。
   1. 转到网络 > 网络配置文件 > 接口管理
   2. 根据连接类型, 选择用户 id-日志-侦听器 UDP 或用户 id-日志-侦听器 SSL.
      
   3. 在 "高级" 选项卡下, 将管理配置文件附加到以太网接口。
4. 从生成日志的服务器测试连接和分析器。
5. 检查是否收到来自服务器发件人的日志, 以及是否在防火墙上生成映射。
   例如:

>> 显示用户服务器-监视状态全部

已启用 UDP 日志侦听器服务

SSL 日志侦听器服务已禁用

代理: ilija-日志 (vsys: vsys1) 主机: ilija-日志 (10.193.17.29)

日志消息数: 1

授权数量。成功消息: 1

>> 显示用户 ip-用户映射所有类型的日志

IP Vsys 从用户IdleTimeout MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

10.200.40.201 vsys1 日志, 1109853ab111008 2696 2696        

总计: 1 用户

所有者： ialeksov