モニター トラフィックをフィルタ リングの基礎
Resolution
ログ ファイルを検索の助けが必要ですか。フィルター式を使用して、不要なログを整理し、必要なログ エントリのみを表示します。フィルタは、and または or を使用して組み合わせることもできますし、 かっこ () を微調整して検索します。ユーザー gmchenryは少し簡単に検索するためにフィルタを使用する方法についていくつかの有用なヒントを提供します。
フィルタ リングの方法と例
このドキュメントでは、フィルタ リングやファイアウォール パロアルト ネットワーク上のトラフィックの特定の種類を探しているいくつかの方法を示します。フィルターのカテゴリには、ホスト、ゾーン、ポート、または日付/時刻が含まれます。リストの最後より包括的な検索のための様々 なフィルターを組み合わせて、いくつかの例が含まれます。
起動すると、いくつかの基本的なフィルターのアイデアを次に示します。
ホスト トラフィック フィルターの例
ホスト a.a.a.a から
(a.a.a.a の addr.src)
例: (1.1.1.1 で addr.src)
説明: 1.1.1.1 (a.a.a.a の addr.src) に一致する ip アドレスのホストからのすべてのトラフィックが表示されます。
B.b.b.b をホストするには
(b.b.b.b の addr.dst)
例: (2.2.2.2 で addr.dst)
説明: は、宛先アドレスが 2.2.2.2 に一致するホストのすべてのトラフィックを示しています。
ホスト a.a.a.a にホスト b.b.b.b から
(a.a.a.a の addr.src)、(b.b.b.b の addr.dst)
例: (1.1.1.1 で addr.src) と (2.2.2.2 の addr.dst)
説明: ホストに出入りで IP アドレスが 1.1.1.1 のホストからのすべてのトラフィックを示しています。
2.2.2.2 の宛先アドレス
ホストの範囲
注: するは、実際は指定できませんが、CIDR 表記法を使用してネットワークのアドレス範囲を指定できます。
(a.a.a.a/CIDR の addr.src)
例: (10.10.10.2/30 の addr.src)
Expanation: は、アドレスからのトラフィックを示しています - 10.10.10.1 に至る 10.10.10.3 です。
またはホストから a.a.a.a
(a.a.a.a の addr)
例: (1.1.1.1 の addr)
説明: ソースまたは宛先アドレス 1.1.1.1 に一致するホストのすべてのトラフィックを示しています。
ゾーン トラフィック フィルターの例
ゾーンの zone_a から
(zone.src eq zone_a)
例: (zone.src eq 保護)
説明: 保護ゾーンからのすべてのトラフィックを示しています。
ゾーンの zone_b に
(zone.dst eq zone_b)
例: (外 zone.dst eq)
説明: 外部ゾーンを通過するすべてのトラフィックを示しています。
ゾーン zone_a ゾーンへ zone_b から
(zone.src eq zone_a)、(zone.dst eq zone_b)
例: (zone.src eq 保護) と (外 zone.dst eq)
説明: 保護ゾーンから旅行と外部ゾーンを行くすべてのトラフィックを示しています。
ポート トラフィック フィルターの例
ポート aa から
(port.src eq aa)
例: (port.src eq 22)
説明: 送信元ポート 22 からの旅行のすべてのトラフィックを示しています。
ポート aa に
(port.dst eq bb)
例: (port.dst eq 25)
説明: は宛先ポート 25 への旅行のすべてのトラフィックを示しています。
ポート aa ポートに bb から
(port.src eq aa) と (port.dst eq bb)
例: (port.src eq 23459) と (port.dst eq 22)
説明: 送信元ポート 23459 から移動、宛先ポート 22 への旅行のすべてのトラフィックを示しています。
すべてのポートより小さいまたは等しいポートに aa から
(port.src leq aa)
例: (port.src leq 22)
説明: 送信元ポート 1-22 からの旅行のすべてのトラフィックを示しています。
すべてのポートより大きいよりまたは等しいポートに aa から
(port.src geq aa)
例: (port.src geq 1024)
説明: 送信元ポート 1024-65535 から旅行のすべてのトラフィックを示しています。
すべてのポートより小さいまたは等しいポートに aa に
(port.dst leq aa)
例: (port.dst leq 1024)
説明: 1 1024 ポートを宛先への旅行のすべてのトラフィックを示しています。
すべてのポートより大きいよりまたは等しいポートに aa に
(port.dst geq aa)
例: (port.dst geq 1024)
説明: は宛先ポート 1024-65535 への旅行のすべてのトラフィックを示しています。
ポート範囲から bb を aa
(port.src geq aa) と (port.src leq bb)
例: (port.src geq 20) と (port.src leq 53)
説明: ソース ポート範囲 20-53 からの旅行のすべてのトラフィックを示しています。
ポート範囲に bb を aa
(port.dst geq aa) と (port.dst leq bb)
例: (port.dst geq 1024) と (port.dst leq 13002)
説明: は宛先ポート 1024-13002 への旅行のすべてのトラフィックを示しています。
日付/時刻のトラフィック フィルターの例
すべての特定のトラフィック料金/mm/dd と時間 hh:mm:ss
(receive_time eq 'hh:mm:ss yyyy/mm/dd')
例: (receive_time eq ' 2015/08/31 8:30 ')
説明: は、8:30 に 2015 年 8 月 31 日に受信したすべてのトラフィックを示しています。
すべてトラフィックを受け取った上または前に、年/月/日と時間 hh:mm:ss
(receive_time leq 'hh:mm:ss yyyy/mm/dd')
例: (receive_time leq ' 2015/08/31 8:30 ')
説明: 表示を受信したすべてのトラフィック 2015 年 8 月 31 日まで 8:30 で
すべてトラフィック受信のまたは後の年/月/日と時間 hh:mm:ss
(receive_time geq 'hh:mm:ss yyyy/mm/dd')
例: (receive_time geq ' 2015/08/31 8:30 ')
説明: が 8:30 で受信したすべてのトラフィックを 2015 年 8 月 31 日以降に示しています
Hh:mm:ss yyyy/mm/dd YYYY/MM/DD のすべてのトラフィック受信間の日付と時刻の範囲
HH:MM:SS
(receive_time geq 'hh:mm:ss yyyy/mm/dd') と (receive_time leq ' HH:MM:SS YYYY/MM/DD ')
例: (receive_time geq '2015/08/30 8:30 ') と (receive_time leq' 2015/08/31 1:25 ')
説明: 2015 年 8 月 30 日 8:30 と 2015 年 8 月 31 日の間に受信したすべてのトラフィックを示しています。
1:25
インターフェイスのトラフィック フィルター例
すべてのトラフィックの受信に関するインターフェイス interface1/x
(interface.src eq ' ethernet1/x')
例: (interface.src eq ' ethernet1/2 ')
説明: イーサネット 1/2 PA ファイアウォール インターフェイスで受信されたすべてのトラフィックを示しています。
すべてのトラフィックの送信にインターフェイス interface1/x
(interface.dst eq ' ethernet1/x')
例: (interface.dst eq ' ethernet1/5 ')
説明: PA ファイアウォール インターフェイス イーサネット 1/5 で送信されたすべてのトラフィックを示しています。
許可または拒否されたトラフィック フィルターの例
ファイアウォール ルールによって許可されているすべてのトラフィック
(アクションの eq を許可)
OR
(アクション neq 拒否)
例: (アクション eq を許可)
説明: は、ファイアウォール ルールによって許可されているすべてのトラフィックを示しています。 手紙を置くことの前に ' n '
'eq を' 意味 '等しくない' 何か '拒否' に等しくないが表示されますので任意の許可されているトラフィックであります。
ファイアウォール規則によって拒否されたすべてのトラフィック
(アクションの eq を拒否する)
OR
(アクション neq を許可)
例: (アクション eq を拒否する)
説明: ファイアウォール規則によって拒否されたすべてのトラフィックを示しています。手紙を置くことの前に ' n '
'eq を' 意味 '等しくない' '許可' に等しくない何かが表示されているので、拒否されたトラフィックであります。
トラフィック フィルターの例を組み合わせること
ゾーン外およびネットワーク 10.10.10.0/24 からのすべてのトラフィックは、保護ゾーンのホストアドレス20.20.20.21 になり ます。
(外 zone.src eq) と (10.10.10.0/24 で addr.src) と (20.20.20.21 の addr.dst)、(zone.dst eq 保護)
8/30-31/2015 年の時間範囲のホスト 5.6.7.8 1.2.3.4 のホストからのすべてのトラフィック
(1.2.3.4 で addr.src) と (5.6.7.8 で addr.dst)、(receive_time geq ' 2015/08/30 00時 00分: 00') と
(receive_time leq ' 2015/08/31 23:59:59 ')
私たちとこれを共有するためありがとうございます、グレン、!
検索の情報なしには少し起動時にトラフィック ログへのドリル ダウンするとき良い練習は、少なくとも特定から開始しより具体的にフィルターを追加することです。
必要なければ、たとえば知っているものを除いてすべてのアプリケーションのためのフィルタ リングとトラブルシューティングでは、特定のアプリを直接フィルタ リングの代わりに '(app neq dns) と (アプリ neq ssh)'
また投げることができるまたは IP 範囲 (addr.src いない 192.168.0.0/24) のプロトコル (プロト neq udp) を必要はありません
この練習では、あまりにも狭く、スタートから検索して概要を失うことがなく興味のトラフィックにドリルダウンできます。
フィルターについての学習を楽しんだ願っています。 感じを共有したいフィルターがある場合以下のセクションのコメントを無料です。
ボーナスのフィルター:
パケットキャプチャを持つログを検索するには: (フラグは pcap)
まで次回--
トム Piens