ログオン前のユーザーがトラフィックログに表示されない
Resolution
問題の状況
GlobalProtect にログオン前の機能を使用すると、web UI のトラフィックログとログの詳細に "ログオン前" というユーザーが表示されません。
詳細
PAN-OS 5.0 は、GlobalProtect のための "事前ログオン" 機能を導入しました。この機能により、クライアントは GlobalProtect ゲートウェイに接続することができます。
実際のユーザーがログインしています。このログオン前の段階で送信されるすべてのトラフィックは、ソースユーザー "ログオン前" のパロアルトネットワークデバイスによって認識されます。
例えば:
> グローバル保護ゲートウェイの現在のユーザーを表示
GlobalProtect ゲートウェイ: gp_gw (1 ユーザー)
トンネル名: gp_gw-N
ドメインユーザー名: \pre-logon
コンピュータ: 研究室
クライアント: マイクロソフトウィンドウズ7エンタープライズエディションサービスパック 1, 32 ビット
プライベート IP アドレス: 10.10.10.1
パブリック IP アドレス: 172.16.31.83
ESP: 存在する
SSL: なし
ログイン時間:12 月 16 08:27:07
ログアウト/有効期限: 1 月 15 08:27:07
TTL: 2565010 非アクティブ
TTL: 7902
また、セッションはこのソースユーザーに関連付けられます。
> セッション id 6146 を表示
セッション6146
c2s の流れ:
ソース: 10.10.10.1 [L3-200]
dst: 172.16.31.98
プロト:17
スポーツ: 138 dport: 138
状態: アクティブタイプ: フロー
src ユーザー: ログオン前
dst ユーザー: 不明
s2c の流れ:
ソース: 172.16.31.98 [L3-Untrust]
dst: 172.16.31.242
プロト:17
スポーツ: 138 dport: 61431
状態: アクティブタイプ: フロー
src ユーザー: 不明
dst ユーザー: ログオン前
原因
これは、"ログオン前" ユーザーが実際のユーザーではないため、予想される動作です。また、"ログオン前" という用語だけでは特定のクライアントが示されないため、ログオン前に有効になっているすべてのクライアントに対して "ログオン前" が適用されます。
所有者: rvanderveken