Übersicht
Dieses Dokument beschreibt, wie man durch die Analyse von Datenpaketen für die Sitzung eine Anwendung-ID, die als unbekannt beginnt-TCP/UDP überprüft und schließlich identifiziert wird.
Details
Aus den Paket Diagnose Protokollen wird die Anwendung zunächst als APP-ID 1017 (unknown-TCP) identifiziert und auf den vorhergehenden Log-Nachrichten hat Sie die eigentliche Application-ID als APP-ID 184 (Skype) identifiziert.
Oct 22 15:01:30 pan_ctd_flow_state_verify (pan_ctd. c:4318):p an_ctd_process_token (Work 0x7f0009d06100, App 1017): 172.24.70.204 [51305]--> 172.17.146.45 [26111]
Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6018): handle Reset
Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6029): * * *setapp to 184 (alte App 1017)
Oct 22 15:01:30 pan_ctd_handle_reset (pan_ctd. c:6032): orig_app is 1017
Oct 22 15:01:30 pan_appid_set_timeout (pan_appid_proc. c:334): Session 386 AppID 184 Set Timeout 3600
Oct 22 15:01:30 pan_cfg_app_policy_lookup (pan_cfg_policy. c:630): vor Lookup: 172.24.70.204 [51305]--> 172.17.146.45 [26111] App 184 use app 184; Do Lookup 0 App FST 1 URL FST 1 ist Standard 0 RuleName (Allow-vWire-1A)
Oct 22 15:01:30 pan_ctd_app_policy_lookup_i (pan_ctd. c:4816): Session ID (386): die Regel wurde geändert, um-vWire-1A von Allow-vWire-1A Action (0) zu erlauben; Protokollierung (2); Profil-ID (1) Kategorie any (0)
Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6413):p an_ctd_handle_reset_and_url () gibt 0
Oct 22 15:01:30 pan_detector_delete_all_fields (pan_detector. c:1581): alle Felder löschen
Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6439): AppID done AppID 184, Minderung jetzt n_tid 0 ret 0
Oct 22 15:01:30 pan_ctd_run_detector_i (pan_ctd. c:6584): Ausfahrt zur Umgehung jetzt
Oct 22 15:01:30 pan_ctd_process_token (pan_ctd. c:5570):p an_ctd_run_pattern_match () failed-6
Verwenden Sie den folgenden CLI-Befehl, um die APP-ID-Nummer aus den obigen Protokollen zu überprüfen:
Debug Device-Server Dump idmgr Typ Shared-Application ID<id></id>
Für dieses Beispiel verifizieren ID 1017 und 184:
> Debug Device-Server Dump idmgr Typ Shared-Application ID 1017
unbekannt-tcp
> Debug Device-Server Dump idmgr Typ Shared-Application ID 184
Skype
Siehe auch
Paketbasierte Fehlerbehebung-Konfiguration von Paketaufnahmen und Debug-Protokollen
Besitzer: Gcapuno