Grundlagen der Traffic Monitor filtern
Resolution
Brauchen Sie Hilfe suchen Log-Dateien? Verwenden Sie Filterausdrücke zu sortieren, unnötige Protokolle und zeigen nur die Log-Einträge, die Sie benötigen. Filter können auch mit und or oder Klammern () kombiniert werden, um Ihre Suche zu verfeinern. User gmchenry bietet einige hilfreiche Tipps zur Verwendung von Filtern, um die Suche etwas einfacher zu machen.
Filtermethoden und Beispiele
Dieses Dokument veranschaulicht verschiedene Methoden der Filterung und auf der Suche nach bestimmten Arten von Datenverkehr auf Palo Alto Networks Firewalls. Kategorien von Filtern Host, Zone, Port oder Datum/Uhrzeit. Am Ende der Liste sind wir ein paar Beispiele, die verschiedene Filter für die umfassendere Suche kombinieren.
Im folgenden sind ein paar grundlegende Filter Ideen zum Einstieg.
Host-Traffic-Filter-Beispiele
VOM HOST a.a.a.a
(addr.src in a.a.a.a)
Beispiel: (addr.src in 1.1.1.1)
Erklärung: wird der gesamte Datenverkehr von Host IP-Adresse, die 1.1.1.1 (addr.src in a.a.a.a) entspricht
B.b.b.b Gastgeber
(addr.dst in b.b.b.b)
Beispiel: (addr.dst in 2.2.2.2)
Erklärung: zeigt alle Verkehr mit einer Zieladresse eines Hosts, der 2.2.2.2 entspricht
VOM HOST a.a.a.a TO HOST b.b.b.b
(addr.src in a.a.a.a) und (addr.dst in b.b.b.b)
Beispiel: (addr.src in 1.1.1.1) und (addr.dst in 2.2.2.2)
Erklärung: zeigt alle Datenverkehr von einem Host mit der IP-Adresse 1.1.1.1 kommen und gehen zu einem host
Zieladresse 2.2.2.2
AUF HOST-BEREICH
Hinweis: Sie können nicht angeben, eine tatsächliche aber können CIDR-Notation verwenden, um einen Netzwerkbereich von Adressen anzugeben
(addr.src in a.a.a.a/CIDR)
Beispiel: (addr.src in 10.10.10.2/30)
Expanation: zeigt alle Datenverkehr von Adressen reichen von 10.10.10.1 - 10.10.10.3.
AN "oder" von HOST a.a.a.a
(Addr in a.a.a.a)
Beispiel: (Addr in 1.1.1.1)
Erklärung: zeigt alle Verkehr mit einer Quelle OR Ziel-Adresse eines Hosts, der 1.1.1.1 entspricht
Zone-Traffic-Filter-Beispiele
VON ZONE zone_a
(zone.src Eq Zone_a)
Beispiel: (zone.src Eq PROTECT)
Erklärung: zeigt alle Datenverkehr, der von der PROTECT-zone
ZU ZONE zone_b
(zone.dst Eq Zone_b)
Beispiel: (zone.dst Eq außerhalb)
Erklärung: zeigt alle Datenverkehr, der außen-zone
VON ZONE Zone_a, ZONE zone_b
(zone.src Eq Zone_a) und (zone.dst Eq Zone_b)
Beispiel: (zone.src Eq PROTECT) und (zone.dst Eq außerhalb)
Erklärung: zeigt alle Verkehr Reisen von der PROTECT-Zone und der außen-Zone ausgehen
Port Traffic-Filter-Beispiele
VON PORT aa
(port.src Eq aa)
Beispiel: (port.src Eq 22)
Erklärung: zeigt alle Verkehr Reisen von Quell-Port 22
AUF PORT aa
(port.dst Eq (bb)
Beispiel: (port.dst Eq 25)
Erklärung: zeigt alle Verkehr Reisen Zielport 25
VON aa PORT zu PORT-bb
(port.src Eq aa) und (port.dst Eq (bb)
Beispiel: (port.src Eq 23459) und (port.dst Eq 22)
Erklärung: zeigt alle Verkehr Reisen von Quell-Port 23459 und Zielport 22 Reisen
VON alle PORTS kleiner als oder gleich zu Hafen aa
(port.src Leq aa)
Beispiel: (port.src Leq 22)
Erklärung: zeigt alle Verkehr Reisen von Quellports 1-22
VON allen PORTS größer als oder gleich zu Hafen aa
(port.src Geq aa)
Beispiel: (port.src Geq 1024)
Erklärung: zeigt alle Verkehr Reisen von Quellports 1024-65535
AUF alle PORTS kleiner als oder gleich zu Hafen aa
(port.dst Leq aa)
Beispiel: (port.dst Leq 1024)
Erklärung: zeigt alle Verkehr Reisen nach Zielhäfen 1-1024
AUF alle PORTS größer als oder gleich zu Hafen aa
(port.dst Geq aa)
Beispiel: (port.dst Geq 1024)
Erklärung: zeigt alle Verkehr Reisen nach Ziel-Ports 1024-65535
VON PORT-Bereich durch bb aa
(port.src Geq aa) und (port.src Leq (bb)
Beispiel: (port.src Geq 20) und (port.src Leq 53)
Erklärung: zeigt alle Verkehr Reisen von Quelle Portbereich 20-53
AUF PORTBEREICH aa durch bb
(port.dst Geq aa) und (port.dst Leq (bb)
Beispiel: (port.dst Geq 1024) und (port.dst Leq 13002)
Erklärung: zeigt alle Verkehr Reisen nach Ziel-Ports 1024-13002
Datum/Uhrzeit Traffic-Filter-Beispiele
ALLE Datenverkehr für ein bestimmtes Datum JJJJ/mm/TT und Uhrzeit HH
(Receive_time Eq "JJJJ/mm/Dd HH")
Beispiel: (Receive_time Eq "2015/08/31 08:30")
Erklärung: zeigt alle Datenverkehr, der am 31. August 2015 am 08:30 eingegangen
ALLE TRAFFIC erhalten ON oder vor dem Datum JJJJ/mm/TT und Uhrzeit HH
(Receive_time Leq "JJJJ/mm/Dd HH")
Beispiel: (Receive_time Leq ' 2015/08/31 08:30 ")
Erklärung: zeigt alle Verkehr, die empfangen wurde am oder vor dem 31. August 2015 um 08:30
ALLE TRAFFIC erhalten ON oder nach dem Datum JJJJ/mm/TT und Uhrzeit HH
(Receive_time Geq "JJJJ/mm/Dd HH")
Beispiel: (Receive_time Geq "2015/08/31 08:30")
Erklärung: zeigt alle Verkehr, die empfangen wurde am oder nach dem 31. August 2015 um 08:30
ALLE TRAFFIC erhalten zwischen den Datum-Uhrzeit Palette von JJJJ/mm/Dd HH und JJJJ/MM/DD
HH
(Receive_time Geq ' JJJJ/mm/Dd HH') und (Receive_time Leq "JJJJ/MM/DD HH")
Beispiel: (Receive_time Geq "2015/08/30 08:30") und (Receive_time Leq ' 2015/08/31 01:25 ")
Erklärung: zeigt alle Datenverkehr, der zwischen 30. August 2015 08:30 und 31. August 2015 empfangen wurde
01:25
Traffic-Filter-Beispiele-Schnittstelle
ALLE Verkehr INBOUND ON INTERFACE interface1 / x
(interface.src Eq "ethernet1 / x")
Beispiel: (interface.src Eq "ethernet1/2")
Erklärung: zeigt alle Datenverkehr, der an die PA Firewall Schnittstelle Ethernet 1/2 eingegangen ist
ALLE TRAFFIC ON AUSGANGSSCHNITTSTELLE interface1 / x
(interface.dst Eq "ethernet1 / x")
Beispiel: (interface.dst Eq "ethernet1/5")
Erklärung: zeigt alle Datenverkehr, der an der PA Firewall Schnittstelle Ethernet 1/5 verschickt wurde
Erlaubt/verweigert Traffic-Filter-Beispiele
DER GESAMTE DATENVERKEHR, DER DURCH DIE FIREWALL-REGELN ERLAUBT WURDE
(Aktion Eq zulassen)
ODER
(Aktion Neq verweigern)
Beispiel: (Aktion Eq zulassen)
Erklärung: zeigt alle Verkehr durch die Firewall-Regeln erlaubt. Platzieren den Buchstaben ' n ' vor
"Eq" bedeutet "nicht gleich" so etwas nicht gleich "verweigern" angezeigt wird, die keinen zulässigen Datenverkehr.
DER GESAMTE DATENVERKEHR DURCH DIE FIREWALL-REGELN VERWEIGERT
(Aktion Eq verweigern)
ODER
(Aktion Neq zulassen)
Beispiel: (Aktion Eq verweigern)
Erklärung: zeigt alle Verkehr durch die Firewall-Regeln verweigert. Platzieren den Buchstaben ' n ' vor
"Eq" bedeutet "nicht gleich" so etwas nicht gleich auf "zulassen" angezeigt wird, die Strassenverkehrs verweigert.
Kombination von Traffic-Filter-Beispiele
DER gesamte Verkehr von der ZONE außerhalb und Netzwerk 10.10.10.0/24 bis zur HOST-Adresse 20.20.20.21 IN der Schutz Zone:
(zone.src Eq außerhalb) und (addr.src in 10.10.10.0/24) und (addr.dst in 20.20.20.21) und (zone.dst Eq PROTECT)
DER GESAMTE DATENVERKEHR VON 1.2.3.4 HOST ZU HOST 5.6.7.8 FÜR DEN ZEITRAUM 8/30-31/2015
(addr.src in 1.2.3.4) und (addr.dst in 5.6.7.8) und (Receive_time Geq "2015/08/30 00:00:00 ') und
(Receive_time Leq ' 2015/08/31 23:59:59 ")
Danke, Glenn, für den Austausch mit uns!
Es ist ratsam beim Drilldown in die Datenverkehrsprotokoll, wenn die Suche mit wenig bis gar keine Informationen beginnt zum Starten von wenigsten spezifischen und spezifischere Filter hinzufügen.
Wenn Problembehandlung, anstatt direkt für eine bestimmte app filtern versuchen Filterung für alle Anwendungen außer denen, die Sie wissen, Sie brauchen nicht, z. B. '(app neq dns) und (app Neq ssh) "
Werfen Sie auch in den Protokollen Sie nicht brauchen (Proto Neq Udp) oder IP reicht (addr.src notin 192.168.0.0/24)
Diese Praxis hilft Ihnen, den Verkehr von Interesse Drilldown, ohne eine Übersicht durch die Suche zu eng von Anfang an.
Ich hoffe, ihr hattet lernen Informationen zu filtern. Fühlen sich frei, um im folgenden Abschnitt zu kommentieren, wenn Sie Filter haben möchte Sie teilen.
Bonus-Filter:
Um Protokolle zu finden, die eine Paket Aufnahme haben: (Flaggen hat pcap)
Bis nächste Mal--
Tom Piens