El usuario previo al inicio de sesión no aparece en los registros de tráfico
Resolution
Síntoma
Cuando se utiliza la función de inicio de sesión para GlobalProtect, el usuario "previo al inicio de sesión" no se muestra en los registros de tráfico y en los detalles de registro de la IU de Web:
Detalles
PAN-OS 5,0 introdujo la función "pre-Logon" para GlobalProtect. Esta característica hace posible que el cliente se conecte a la puerta de enlace GlobalProtect antes
un usuario real ha iniciado sesión. Todo el tráfico que se envía durante esta etapa previa al inicio de sesión es reconocido por el dispositivo de redes palo alto con el usuario de origen "pre-Logon".
Por ejemplo:
> Mostrar usuario actual global-proteger-gateway
GlobalProtect Gateway: gp_gw (1 users)
Nombre del túnel: gp_gw-N
Dominio-nombre de usuario: \pre-Logon
Computer: LAB
Cliente: Microsoft Windows 7 Enterprise Edition Service Pack 1, 32 bits
IP privada: 10.10.10.1
IP pública: 172.16.31.83
ESP: existen
SSL: ninguno
Hora de entrada: 16 de diciembre 08:27:07
Cierre de sesión/expiración: Ene. 15 08:27:07
TTL: 2565010 inactividad
TTL: 7902
También las sesiones están asociadas con este usuario de origen:
> Mostrar Session ID 6146
Sesión 6146
flujo de C2S:
Fuente: 10.10.10.1 [L3-200]
DST: 172.16.31.98
Proto: 17
deporte: 138 dport: 138
Estado: tipo activo: flujo
usuario src: pre-inicio de sesión
usuario de DST: desconocido
flujo s2c:
Fuente: 172.16.31.98 [L3-Untrust]
DST: 172.16.31.242
Proto: 17
deporte: 138 dport: 61431
Estado: tipo activo: flujo
usuario src: Unknown
usuario de DST: antes del inicio de sesión
Causa
Este es el comportamiento esperado, ya que el usuario "previo al inicio de sesión" no es un usuario real. Además, el término "pre-inicio de sesión" por sí solo no indica un cliente en particular, por lo que "pre-Logon" se aplica a cualquier cliente con el inicio de sesión activado previamente.
propietario: rvanderveken