Wie man die Änderung des Anwendungs namens von Unknown-TCP/UDP auf aktuelle APP-ID überprüft

Wie man die Änderung des Anwendungs namens von Unknown-TCP/UDP auf aktuelle APP-ID überprüft

21228
Created On 09/25/18 19:24 PM - Last Modified 05/05/21 21:19 PM


Resolution


Übersicht

Dieses Dokument beschreibt, wie man durch die Analyse von Datenpaketen für die Sitzung eine Anwendung-ID, die als unbekannt beginnt-TCP/UDP überprüft und schließlich identifiziert wird.

 

Details

Aus den Paket Diagnose Protokollen wird die Anwendung zunächst als APP-ID 1017 (unknown-TCP) identifiziert und auf den vorhergehenden Log-Nachrichten hat Sie die eigentliche Application-ID als APP-ID 184 (Skype) identifiziert.

Oct 22 15:01:30 pan_ctd_flow_state_verify (pan_ctd. c:4318):p an_ctd_process_token (Work 0x7f0009d06100, App 1017): 172.24.70.204 [51305]--> 172.17.146.45 [26111]

Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6018): handle Reset

Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6029): * * *setapp to 184 (alte App 1017)

Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6032): orig_app is 1017

Oct 22 15:01:30 pan_appid_set_timeout (pan_appid_proc. c:334): Session 386 AppID 184 Set Timeout 3600

Oct 22 15:01:30 pan_cfg_app_policy_lookup (pan_cfg_policy. c:630): vor Lookup: 172.24.70.204 [51305]--> 172.17.146.45 [26111] App 184 use app 184; Do Lookup 0 App FST 1 URL FST 1 ist Standard 0 RuleName (Allow-vWire-1A)

Oct 22 15:01:30 pan_ctd_app_policy_lookup_i (pan_ctd. c:4816): Session ID (386): die Regel wurde geändert, um-vWire-1A von Allow-vWire-1A Action (0) zu erlauben; Protokollierung (2); Profil-ID (1) Kategorie any (0)

Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6413):p an_ctd_handle_reset_and_url () gibt 0

Oct 22 15:01:30 pan_detector_delete_all_fields (pan_detector. c:1581): alle Felder löschen

Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6439): AppID done AppID 184, Minderung jetzt n_tid 0 ret 0

Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6584): Ausfahrt zur Umgehung jetzt

Oct 22 15:01:30 pan_ctd_process_token (pan_ctd. c:5570):p an_ctd_run_pattern_match () failed-6

 

Verwenden Sie den folgenden CLI-Befehl, um die APP-ID-Nummer aus den obigen Protokollen zu überprüfen:

Debug Device-Server Dump idmgr Typ Shared-Application ID<id></id>


Für dieses Beispiel verifizieren ID 1017 und 184:

> Debug Device-Server Dump idmgr Typ Shared-Application ID 1017

unbekannt-tcp

> Debug Device-Server Dump idmgr Typ Shared-Application ID 184

Skype

 

Siehe auch

Paketbasierte Fehlerbehebung-Konfiguration von Paketaufnahmen und Debug-Protokollen

 

Besitzer: Gcapuno
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language