ログオン前のユーザーがトラフィックログに表示されない

問題の状況

GlobalProtect にログオン前の機能を使用すると、web UI のトラフィックログとログの詳細に "ログオン前" というユーザーが表示されません。

詳細

PAN-OS 5.0 は、GlobalProtect のための "事前ログオン" 機能を導入しました。この機能により、クライアントは GlobalProtect ゲートウェイに接続することができます。

実際のユーザーがログインしています。このログオン前の段階で送信されるすべてのトラフィックは、ソースユーザー "ログオン前" のパロアルトネットワークデバイスによって認識されます。

例えば：

> グローバル保護ゲートウェイの現在のユーザーを表示

GlobalProtect ゲートウェイ: gp_gw (1 ユーザー)

トンネル名: gp_gw-N

     ドメインユーザー名: \pre-logon

     コンピュータ: 研究室

     クライアント: マイクロソフトウィンドウズ7エンタープライズエディションサービスパック 1, 32 ビット

     プライベート IP アドレス: 10.10.10.1

     パブリック IP アドレス: 172.16.31.83

     ESP: 存在する

     SSL: なし

     ログイン時間:12 月 16 08:27:07

     ログアウト/有効期限: 1 月 15 08:27:07

     TTL: 2565010 非アクティブ

     TTL: 7902

また、セッションはこのソースユーザーに関連付けられます。

> セッション id 6146 を表示

セッション6146

  c2s の流れ:

  ソース: 10.10.10.1 [L3-200]

  dst: 172.16.31.98

  プロト:17

  スポーツ: 138 dport: 138

  状態: アクティブタイプ: フロー

  src ユーザー: ログオン前

  dst ユーザー: 不明

  s2c の流れ:

  ソース: 172.16.31.98 [L3-Untrust]

  dst: 172.16.31.242

  プロト:17

  スポーツ: 138 dport: 61431

  状態: アクティブタイプ: フロー

  src ユーザー: 不明

  dst ユーザー: ログオン前

原因

これは、"ログオン前" ユーザーが実際のユーザーではないため、予想される動作です。また、"ログオン前" という用語だけでは特定のクライアントが示されないため、ログオン前に有効になっているすべてのクライアントに対して "ログオン前" が適用されます。

所有者: rvanderveken