Pre-Logon-Benutzer erscheint nicht in Traffic Logs

Symptom

Bei der Verwendung der Pre-Logon-Funktion für GlobalProtect wird der Benutzer "Pre-Logon" nicht in den Traffic Logs und Log-Details auf dem Web-UI angezeigt:

Details

PAN-OS 5,0 hat die Funktion "Pre-Logon" für GlobalProtect eingeführt. Diese Funktion ermöglicht es dem Client, sich mit dem GlobalProtect Gateway zu verbinden, bevor

ein tatsächlicher Benutzer ist angemeldet. Der gesamte Verkehr, der während dieser Pre-Logon-Phase gesendet wird, wird vom Palo Alto Networks-Gerät mit dem Quell Benutzer "Pre-Logon" erkannt.

Zum Beispiel:

> zeigen die aktuellen globalen schützen Gateway Benutzer

GlobalProtect Gateway: gp_gw (1 Benutzer)

Tunnel Name: gp_gw-N

     Domain-Benutzer Name: \pre-LOGON

     Computer: LAB

     Client: Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-Bit

     Private IP: 10.10.10.1

     Public IP: 172.16.31.83

     ESP: exist

     SSL: keine

     AnmeldeZeit: 16. Dezember 08:27:07

     Logout/Ablauf: 15. Januar 08:27:07

     TTL: 2565010 Inaktivität

     TTL: 7902

Auch Sessions sind mit diesem Source User verbunden:

> Session ID 6146

Session 6146

  C2S Flow:

  Quelle: 10.10.10.1 [L3-200]

  DST: 172.16.31.98

  Proto: 17

  Sport: 138 dport: 138

  Zustand: aktiver Typ: FLOW

  src-Nutzer: Pre-Logon

  DST-User: unbekannt

  S2C Flow:

  Quelle: 172.16.31.98 [L3-Untrust]

  DST: 172.16.31.242

  Proto: 17

  Sport: 138 dport: 61431

  Zustand: aktiver Typ: FLOW

  src-Nutzer: unbekannt

  DST User: Pre-Logon

Ursache

Das ist das erwartete Verhalten, da der "Pre-Logon"-Benutzer kein richtiger Benutzer ist. Auch der Begriff "Pre-Logon" allein weist nicht auf einen bestimmten Client hin, so dass "Pre-Logon" für jeden Client mit aktiviertem Pre-Logon gilt.

Besitzer: rvanderveken