如何配置自定义日志发件人和测试用户映射
Resolution
泛 OS 6.0, 6。1
概述
PAN OS 6.0 介绍了使用帕洛阿尔托网络防火墙作为系统日志侦听器, 可以从不同的网络元素收集系统日志, 并将用户映射到 IP 地址, 这可用于安全规则和策略。
在设备上启用了此功能后, 系统将自动配置系统日志侦听器, 如果选定为 UDP, 则将侦听端口514。如果配置为使用 SSL 加密日志, 则将创建端口6514上的侦听器。 此选项不仅限于防火墙, 而且还可以在安装在 Windows 服务器上的用户 ID 代理上进行配置。 Windows 代理不执行 SSL-UDP 和 TCP (两个 514)。
本文档介绍如何在帕洛阿尔托网络防火墙上创建自定义筛选器。
注:从应用程序内容版本 418, 帕洛阿尔托网络包括事先系统日志发件人 (称为筛选器) 的列表. 可以从 web UI (设备 > 动态更新) 下载和安装应用程序更新。
要求︰
- 日志发件人日志的知识。
- 对发件人的 IP 地址的了解。
- 了解如何传递日志 (加密或不加密)
- 对用户正在连接的域的了解, 以及在登录时使用 "域 \" 表示法的知识。
- 使用字段标识符或 Regex 标识符之间的决定
本文档将直接在防火墙上描述此安装程序的配置。但是, 如果配置是在用户 ID 代理上执行的, 则该过程是相同的 (因为相同的字段是以相同的方式配置的)。
步骤
日志分析
采取日志的一部分并确定用户 ip 映射所需的字段。这通常需要包括用户名、IP 地址、字段需要的分隔符以及 "事件字符串"。事件字符串告诉防火墙用户成功登录, 并且需要收集用户名和 ip 地址, 然后将其记录到用户 IP 映射数据库中。
下面的系统日志示例演示一个来自阿鲁巴无线控制器的记录:
2013-03-20 12:56:53 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: 用户名 = ilija MAC=78:f5:fd:dd:ff:90 IP = 10.200.27.67</Aruba-Local3> </NOTI> </522008>
2013-03-20 12:56:53 local4 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户身份验证成功: 用户名 = jovan MAC=78:f5:fd:dd:ff:90 IP = 10.200.27.68 角色 = 必须-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA 配置文件 =MUST-DOT1X_AAAP 授权方法 = 802.1x 授权服务器 = 工作人员</Aruba-Local3></NOTI> </522008>
2013-03-20 12:56:57 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP = 10.200.36.176 角色 = 来宾 VLAN=436 AP=00:1a:1e:c5:13:ee SSID = 客户 AAA 配置文件 = 来宾授权方法 = Web 验证服务器 = 来宾</Aruba-Local3></NOTI> </522008>
2013-03-20 12:57:13 local4 通知 Aruba-Local3 authmgr [1568]: <522008> <NOTI><Aruba-Local3 10.200.10.10="">用户认证成功: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP = 10.200.40.201 角色 = 来宾 VLAN=440 AP=00:1a:1e:c5:ed:11 SSID = 客户 AAA 配置文件 = 来宾授权方法 = Web 验证服务器 = 来宾</Aruba-Local3></NOTI> </522008>
从上述日志示例 (一个简单的 syslog 输出) 的分析中, 可以使用字段标识符来处理解析。
- 对于事件字符串, 搜索 "用户身份验证成功:" 字符串。
- 对于用户名前缀: "用户名 ="
- 对于用户名分隔符: "\ s"
- 对于地址前缀: "IP ="
- 对于地址分隔符: "\ s"
注意: 当分隔符是日志中的一个空空间时, 常见的错误是在分隔符字段中使用空格或 "". 这是不正确的。即使不使用 Regex 标识符, "\t" 也是将空空间表示为分隔符的正确方法。但是, 在用户 ID 代理上配置相同的设置时, 空白空间必须用作分隔符, 因为 "\t" 无法识别, 并且调试日志中会出现错误。
配置
- 定义将用于发送到防火墙侦听器的日志事件的日志分析器配置文件。
- 转到设备 > 用户标识 > 用户映射
- 编辑 "帕洛阿尔托网络用户 ID 代理设置" 部分
- 转到 "日志过滤器" 选项卡并添加新的日志分析配置文件
- 根据日志的复杂性确定配置文件的类型 (Regex 标识符或字段标识符)
- 输入从上面的分析中确定的字段值:
- 配置服务器监视器
- 转到设备 > 用户标识 > 用户映射
- 在 "服务器监视" 部分下, 添加新的服务器监视器
- 选择类型的 "日志发件人"
- 为 Syslog 发件人选择适当的设置, 其中包括: 连接类型、筛选器 (在此示例中, 将是在前面的步骤中创建的) 和默认域名。
注意:如果使用了默认域名, 则输入的域将预置到通过此服务器连接发现的所有用户.
- 当所有设置都完成后, 允许建立到专用接口的连接。
- 转到网络 > 网络配置文件 > 接口管理
- 根据连接类型, 选择用户 id-日志-侦听器 UDP 或用户 id-日志-侦听器 SSL.
- 在 "高级" 选项卡下, 将管理配置文件附加到以太网接口。
- 从生成日志的服务器测试连接和分析器。
- 检查是否收到来自服务器发件人的日志, 以及是否在防火墙上生成映射。
例如:
>> 显示用户服务器-监视状态全部
已启用 UDP 日志侦听器服务
SSL 日志侦听器服务已禁用
代理: ilija-日志 (vsys: vsys1) 主机: ilija-日志 (10.193.17.29)
日志消息数: 1
授权数量。成功消息: 1
>> 显示用户 ip-用户映射所有类型的日志
IP Vsys 从用户IdleTimeout MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
10.200.40.201 vsys1 日志, 1109853ab111008 2696 2696
总计: 1 用户
所有者: ialeksov