通讯流量监视器过滤的基本知识
Resolution
需要帮您搜索日志文件吗?使用筛选器表达式进行排序出不必要的日志并显示只有你需要的日志条目。筛选器还可以使用 and 或or和圆括号 () 来微调搜索. 用户gmchenry提供一些有用的提示, 说明如何使用筛选器使搜索更容易一些.
滤波方法及实例
本文档演示过滤和寻找特定类型的通信在帕洛阿尔托网络防火墙的几种方法。筛选器类别包括主机、区域、端口或日期/时间。在列表的末尾,我们包括结合各种滤清器更全面搜索的几个例子。
以下是几个基本过滤器想法让你开始。
主机交通筛选器示例
从主机 a.a.a.a
(在 a.a.a.a addr.src)
示例: (在 1.1.1.1 addr.src)
说明: 显示来自主机的所有通信量匹配 1.1.1.1 (在 a.a.a.a addr.src) 的 ip 地址
到主机 b.b.b.b
(在 b.b.b.b addr.dst)
示例: (在 2.2.2.2 addr.dst)
说明: 显示所有交通使用匹配 2.2.2.2 主机的目标地址
从主机到主机 a.a.a.a b.b.b.b
(在 a.a.a.a addr.src) 和 (在 b.b.b.b addr.dst)
示例: (在 1.1.1.1 addr.src) 和 (addr.dst 在 2.2.2.2)
说明: 显示所有通信量来自 IP 地址为 1.1.1.1 主机和主机去
2.2.2.2 目标地址
对寄主范围
注意: 您不能指定实际但可以使用 CIDR 表示法指定网络地址范围的
(在 a.a.a.a/CIDR addr.src)
示例: (在 10.10.10.2/30 addr.src)
解释: 显示所有通信量来自地址从 10.10.10.1-10.10.10.3。
或从主机 a.a.a.a
(在 a.a.a.a 中的地址)
示例: (在 1.1.1.1 addr)
说明: 显示所有交通与源或目标地址的主机的匹配 1.1.1.1
区域交通筛选器示例
从区 zone_a
(zone.src 情商 zone_a)
示例: (zone.src 情商保护)
说明: 显示所有通信量来自保护区
向区 zone_b
(zone.dst 情商 zone_b)
示例: (zone.dst 情商以外)
说明: 显示所有交通出门外区
从区 zone_a 到区 zone_b
(zone.src 情商 zone_a) 和 (zone.dst 情商 zone_b)
示例: (zone.src 情商保护) 和 (zone.dst 情商以外)
说明: 显示所有交通旅行从保护区和出去外面区
港口交通筛选器示例
从端口 aa
(port.src 情商 aa)
示例: (port.src 情商 22)
说明: 显示所有交通旅行从源端口 22
为端口 aa
(port.dst 情商 bb)
示例: (port.dst 情商 25)
说明: 显示所有交通旅行到目的地端口 25
从端口到端口 aa bb
(port.src 情商 aa) 和 (port.dst 情商 bb)
示例: (port.src 情商 23459) 和 (port.dst 情商 22)
说明: 显示所有交通从源端口 23459 旅游和旅行到目的地端口 22
从所有端口小于或等于向端口 aa
(port.src leq aa)
示例: (port.src leq 22)
说明: 显示所有交通旅行从源端口 1-22
从所有端口更比或平等到端口 aa
(port.src geq aa)
示例: (port.src geq 1024)
说明: 显示所有交通旅行从源端口 1024年-65535
为所有端口小于或等于向端口 aa
(port.dst leq aa)
示例: (port.dst 车流量 1024年)
说明: 显示所有交通前往目的地端口 1-1024
为所有端口更比或平等到端口 aa
(port.dst geq aa)
示例: (port.dst geq 1024)
说明: 显示所有交通前往目的地端口 1024年-65535
从端口范围通过 bb aa
(port.src geq aa) 和 (port.src leq bb)
示例: (port.src geq 20) 和 (port.src leq 53)
说明: 显示所有交通旅行从源端口范围 20-53
对端口范围通过 bb aa
(port.dst geq aa) 和 (port.dst leq bb)
示例: (port.dst geq 1024) 和 (port.dst 车流量 13002)
说明: 显示所有交通前往目的地端口 1024年 13002
时间交通筛选器示例
所有交通为特定日期 yyyy/mm/dd 和时间 hh:mm:ss
(receive_time 情商 yyyy/mm/dd hh:mm:ss')
示例: (receive_time 情商 ' 2015年/08/31 8:30 ')
说明: 显示在 8:30 上午日 2015 年 8 月 31 日收到的所有交通
所有交通收到上或日期前的日期 yyyy/mm/dd 和时间 hh:mm:ss
(receive_time leq ' yyyy/mm/dd hh:mm:ss')
示例: (receive_time leq ' 2015年/08/31 8:30 ')
说明: 显示收到的所有交通或 2015 年 8 月 31 日之前在 8:30 上午
所有交通收到上或后日期 yyyy/mm/dd 和时间 hh:mm:ss
(receive_time geq ' yyyy/mm/dd hh:mm:ss')
示例: (receive_time geq ' 2015年/08/31 8:30 ')
说明: 显示收到的所有交通或后 2015 年 8 月 31 日在 8:30 上午
所有交通收到之间日期-时间范围 yyyy/mm/dd hh:mm:ss 和 YYYY/MM/DD
HH:MM:SS
(receive_time geq 'yyyy/mm/dd hh:mm:ss') 和 (receive_time leq' YYYY,MM,DD HH:MM:SS')
示例: (receive_time geq '2015年/08/30 8:30 ') 和 (receive_time leq' 2015年/08/31 1:25 ')
说明: 显示收到 2015 年 8 月 30 日 8:30 上午和 2015 年 8 月 31 日之间的所有通信
1:25 上午
接口交通筛选器示例
所有交通站上接口接口 1 / x
(interface.src 情商 ' ethernet1 / x')
示例: (interface.src 情商 ' ethernet1/2 ')
说明: 显示以太网 1/2 的 PA 防火墙接口收到的所有交通
所有交通站上接口接口 1 / x
(interface.dst 情商 ' ethernet1 / x')
示例: (interface.dst 情商 ' ethernet1/5 ')
说明: 显示被派出以太网 1/5 的 PA 防火墙接口的所有通信
允许拒绝交通筛选器示例
被允许通过防火墙规则的所有交通
(行动情商允许)
或
(行动集装拒绝)
示例: (行动情商允许)
说明: 显示所有交通防火墙规则所允许的。 把这封信的前面的 n
'情商' 意味着 ' 并不等于,' 所以不相等拒绝 '' 的东西显示,这是任何允许的通信。
所有交通否认的防火墙规则
(行动情商拒绝)
或
(行动集装允许)
示例: (行动情商拒绝)
说明: 显示所有交通否认的防火墙规则。把这封信的前面的 n
'情商' 意味着 '不等于,' 所以不相等 '允许' 的东西显示,这是任何拒绝的通信。
结合交通筛选器示例
来自外部区域的所有通信和网络 10.10.10.0/24 到主机地址20.20.20.21 在保护区域中:
(zone.src 情商外的) 和 (在 10.10.10.0/24 addr.src) 和 (在 20.20.20.21 addr.dst) 和 (zone.dst 情商保护)
1.2.3.4 主机到主机 5.6.7.8 8/30-31/2015 年时间范围内的所有交通
(addr.src 在 1.2.3.4) 和 (在 5.6.7.8 addr.dst) 和 (receive_time geq ' 2015年/08/30 00:00:00 ') 和
(receive_time leq ' 2015年/08/31 23:59:59 ')
谢谢你,格伦,这与我们一起分享 !
一个好的做法,当向下钻取到交通日志时搜索开始很少或没有信息,是从最不具体启动并将筛选器添加到更具体。
当故障排除,而不一个特定的应用程序,直接过滤试筛选所有的应用程序,除非你知道你不需要例如 '(app neq dns) 和 (app 集装 ssh)'
你也可以扔在协议中,你不需要 (原始方程组 udp) 或 IP 范围 (addr.src 并不能使 192.168.0.0/24)
这种做法有助于您深入到感兴趣的交通而不会丢失概述通过搜索过于狭隘地从一开始。
我希望你喜欢学习有关筛选器。 感到自由评论下面一节中,如果你有过滤器,你想要分享。
奖金的筛选器:
查找具有数据包捕获的日志: (标志有 pcap)
直到下一次 — —
汤姆各地