Pre-Logon-Benutzer erscheint nicht in Traffic Logs
Resolution
Symptom
Bei der Verwendung der Pre-Logon-Funktion für GlobalProtect wird der Benutzer "Pre-Logon" nicht in den Traffic Logs und Log-Details auf dem Web-UI angezeigt:
Details
PAN-OS 5,0 hat die Funktion "Pre-Logon" für GlobalProtect eingeführt. Diese Funktion ermöglicht es dem Client, sich mit dem GlobalProtect Gateway zu verbinden, bevor
ein tatsächlicher Benutzer ist angemeldet. Der gesamte Verkehr, der während dieser Pre-Logon-Phase gesendet wird, wird vom Palo Alto Networks-Gerät mit dem Quell Benutzer "Pre-Logon" erkannt.
Zum Beispiel:
> zeigen die aktuellen globalen schützen Gateway Benutzer
GlobalProtect Gateway: gp_gw (1 Benutzer)
Tunnel Name: gp_gw-N
Domain-Benutzer Name: \pre-LOGON
Computer: LAB
Client: Microsoft Windows 7 Enterprise Edition Service Pack 1, 32-Bit
Private IP: 10.10.10.1
Public IP: 172.16.31.83
ESP: exist
SSL: keine
AnmeldeZeit: 16. Dezember 08:27:07
Logout/Ablauf: 15. Januar 08:27:07
TTL: 2565010 Inaktivität
TTL: 7902
Auch Sessions sind mit diesem Source User verbunden:
> Session ID 6146
Session 6146
C2S Flow:
Quelle: 10.10.10.1 [L3-200]
DST: 172.16.31.98
Proto: 17
Sport: 138 dport: 138
Zustand: aktiver Typ: FLOW
src-Nutzer: Pre-Logon
DST-User: unbekannt
S2C Flow:
Quelle: 172.16.31.98 [L3-Untrust]
DST: 172.16.31.242
Proto: 17
Sport: 138 dport: 61431
Zustand: aktiver Typ: FLOW
src-Nutzer: unbekannt
DST User: Pre-Logon
Ursache
Das ist das erwartete Verhalten, da der "Pre-Logon"-Benutzer kein richtiger Benutzer ist. Auch der Begriff "Pre-Logon" allein weist nicht auf einen bestimmten Client hin, so dass "Pre-Logon" für jeden Client mit aktiviertem Pre-Logon gilt.
Besitzer: rvanderveken