Notions de base du moniteur de trafic filtrage
Resolution
Besoin d’aide pour la recherche de fichiers journaux ? Utiliser des expressions de filtre pour trier les journaux inutiles et afficher uniquement les entrées de journal dont vous avez besoin. Les filtres peuvent également être combinés en utilisant et ou ou et parenthèses () pour affiner votre recherche. L'utilisateur gmchenry fournit quelques conseils utiles sur L'utilisation de filtres pour rendre la recherche un peu plus facile.
Exemples et méthodes de filtrage
Ce document illustre plusieurs méthodes de filtrage et la recherche de certains types de trafic sur les pare-feu de Palo Alto Networks. Catégories de filtres comprennent hôte, port, la zone ou date/heure. À la fin de la liste, nous avons inclus quelques exemples qui combinent différents filtres pour une recherche plus complète.
Voici quelques idées de filtre de base pour vous aider à démarrer.
Exemples de filtre pour le trafic hôte
D’hôte a.a.a.a
(addr.src à a.a.a.a)
exemple : (addr.src en 1.1.1.1)
Explication : affiche tout le trafic hôte adresse ip qui correspond 1.1.1.1 (addr.src à a.a.a.a)
D’organiser b.b.b.b
(addr.dst à b.b.b.b)
exemple : (addr.dst en 2.2.2.2)
Explication : affiche tout le trafic avec une adresse de destination d’un hôte qui correspond à 2.2.2.2
DE l’hôte a.a.a.a TO HOST b.b.b.b
(addr.src à a.a.a.a) et (addr.dst à b.b.b.b)
exemple : (addr.src en 1.1.1.1) et (addr.dst en 2.2.2.2)
Explication : affiche tout le trafic provenant d’un hôte dont l’adresse IP 1.1.1.1 et va à un hôte
adresse de destination de 2.2.2.2
POUR LA GAMME D’HÔTES
Remarque : Vous ne pouvez pas spécifier une réelle mais pouvez utiliser la notation CIDR pour spécifier une plage d’adresses de réseau
(addr.src à a.a.a.a/CIDR)
exemple : (addr.src à 10.10.10.2/30)
Expanation : montre tout le trafic provenant d’adresses allant de 10.10.10.1 - 10.10.10.3.
TO ou hôte a.a.a.a
(addr dans a.a.a.a)
exemple : (addr dans 1.1.1.1)
Explication : affiche tout le trafic avec une source, adresse destination OR d’un hôte qui correspond 1.1.1.1
Exemples de filtre pour le trafic zone
DE la ZONE zone_a
(zone.src eq zone_a)
exemple : (zone.src eq PROTECT)
Explication : affiche tout le trafic provenant de la zone de protection
POUR la ZONE zone_b
(zone.dst eq zone_b)
exemple : (zone.dst eq dehors)
Explication : affiche tout le trafic sortant de la zone de l’extérieur
DE ZONE zone_a ZONE zone_b
(zone.src eq zone_a) et (zone.dst eq zone_b)
exemple : (zone.src eq PROTECT) et (zone.dst eq dehors)
Explication : affiche tout le trafic venant de la zone de protection et de sortir de la zone de l’extérieur
Exemples de filtre pour le trafic port
DE PORT aa
(eq port.src aa)
exemple : (port.src eq 22)
Explication : affiche tout le trafic venant de port source 22
À PORT aa
(port.dst eq bb)
exemple : (port.dst eq 25)
Explication : affiche tout le trafic vers le port de destination 25
DE PORT aa bb à PORT
(eq port.src aa) et (port.dst eq bb)
exemple : (port.src eq 23459) et (port.dst eq 22)
Explication : affiche tout le trafic venant de port source 23459 et voyager au port de destination 22
DE tous les PORTS inférieur ou égal à PORT aa
(port.src leq aa)
exemple : (port.src leq 22)
Explication : affiche tout le trafic venant de ports source 1-22
DE tous les PORTS plus grand qu’ou égal à PORT aa
(geq port.src aa)
exemple : (port.src geq 1024)
Explication : affiche tout le trafic venant de ports 1024-65535 de la source
À tous les PORTS inférieur ou égal à PORT aa
(port.dst leq aa)
exemple : (port.dst leq 1024)
Explication : affiche tout le trafic vers les ports de destination 1-1024
À tous les PORTS plus grand qu’ou égal à PORT aa
(geq port.dst aa)
exemple : (port.dst geq 1024)
Explication : affiche tout le trafic voyageant vers les ports de destination 1024-65535
DE la plage de ports aa par bb
(geq port.src aa) et (port.src leq bb)
exemple : (port.src geq 20) et (port.src leq 53)
Explication : affiche tout le trafic venant de la plage de port source 20-53
À la plage de ports aa par bb
(geq port.dst aa) et (port.dst leq bb)
exemple : (port.dst geq 1024) et (port.dst leq 13002)
Explication : affiche tout le trafic vers les ports de destination 1024-13002
Exemples de filtre de trafic heure/date
Tous les trafic pour A spécifique DATE aaaa/mm/jj et temps hh
(receive_time eq « aaaa/mm/jj hh »)
exemple : (receive_time eq ' 2015/08/31 08:30 ')
Explication : affiche tout le trafic qui a été reçu le 31 août 2015 à 08:30
TOUT trafic reçu sur ou avant la DATE jj/mm/aaaa et temps hh
(receive_time leq « aaaa/mm/jj hh »)
exemple : (receive_time leq ' 2015/08/31 08:30 ')
Explication : affiche tout le trafic qui a été reçu l’ou avant le 31 août 2015 à 08:30
Tous les trafic reçu sur ou après la DATE jj/mm/aaaa et temps hh
(receive_time geq « aaaa/mm/jj hh »)
exemple : (geq receive_time ' 2015/08/31 08:30 ')
Explication : affiche tout le trafic qui a été reçu l’ou après le 31 août 2015 à 08:30
TOUT trafic reçues entre la DATE-heure cuisinière des aaaa/mm/jj hh : mm : AAAA/MM/JJ
HH : MM :
(receive_time geq « aaaa/mm/jj hh ») et (receive_time leq « AAAA/MM/JJ HH »)
exemple : (geq receive_time ' 08/2015/30 08:30 ') et (receive_time leq ' 2015/08/31 01:25 ')
Explication : affiche tout le trafic qui a été reçu entre le 30 août 2015 08:30 et 31 août 2015
01:25
Exemples de filtre de trafic de l’interface
TOUT le trafic entrant sur INTERFACE interface1 / x
(interface.src eq ' ethernet1 / x')
exemple : (interface.src eq « ethernet1/2')
Explication : affiche tout le trafic a été reçu sur l’interface du pare-feu PA Ethernet 1/2
TOUT le trafic sortant sur INTERFACE interface1 / x
(interface.dst eq ' ethernet1 / x')
exemple : (interface.dst eq « ethernet1/5')
Explication : affiche tout le trafic envoyé sur l’interface du pare-feu PA Ethernet 1/5
Exemples de filtre de trafic autorisé/refusé
TOUT LE TRAFIC QUI A ÉTÉ AUTORISÉ PAR LES RÈGLES DE PARE-FEU
(action eq permettre)
OR
(action QNE nier)
exemple : (action eq permettre)
Explication : affiche tout le trafic autorisé par les règles de pare-feu. Plaçant la lettre « n » en face de
« eq » signifie « est pas égal à, » afin que rien ne correspond pas à « refuser » s’affiche, qui est tout le trafic autorisé.
TOUT LE TRAFIC REFUSÉ PAR LES RÈGLES DE PARE-FEU
(refuser l’action eq)
OR
(action QNE permettre)
exemple : (refuser l’action eq)
Explication : affiche tout le trafic refusé par les règles de pare-feu. Plaçant la lettre « n » en face de
« eq » signifie « est pas égal à, » afin que rien ne correspond pas à « autoriser » s’affiche, qui est tout trafic refusé.
Combinant des exemples de filtre de trafic
TOUT le trafic de la ZONE à L'EXTÉRIEUR et le réseau 10.10.10.0/24 à L'HÔTE adresse 20.20.20.21 dans la zone de protection:
(zone.src eq dehors) et (addr.src en 10.10.10.0/24) et (addr.dst à 20.20.20.21) et (zone.dst eq PROTECT)
TOUT LE TRAFIC ENTRE HÔTE 1.2.3.4 ET HÔTE 5.6.7.8 POUR LA PLAGE HORAIRE 8/30-31/2015
(addr.src en 1.2.3.4) et (addr.dst en 5.6.7.8) et (geq receive_time ' 08/2015/30 00:00:00 ') et
(receive_time leq ' 2015/08/31 23:59:59 ')
Merci, Glenn, de partager cela avec nous !
Une bonne pratique lors de l’exploration vers le bas dans le journal circulation lorsque la recherche commence avec peu ou pas d’information, doit partir moins spécifique et ajoutez des filtres plus spécifiques.
Lorsque dépannage, au lieu de filtrage directement pour une application spécifique, essayez de filtrage pour toutes les applications sauf ceux que vous savez que vous n’avez pas besoin, par exemple '(app neq dns) et (app QNE ssh) "
Vous pouvez également jeter dans les protocoles vous n’avez pas besoin (proto QNE udp) ou IP varie (192.168.0.0/24 notin addr.src)
Cette pratique permet de forer vers le bas pour le trafic d’intérêt sans perdre un aperçu en cherchant trop étroitement dès le départ.
J’espère que vous avez aimé apprendre de filtres. Se sentir libre de présenter des observations dans la section ci-dessous si vous avez des filtres que vous souhaitez partager.
Filtre de bonus :
Pour rechercher les journaux qui ont une capture de paquets: (Flags a PCAP)
Jusqu’au prochain temps--
Tom Piens