Wann werden Session-Start Protokolle in den Verkehrs Protokollen angezeigt?

Wann werden Session-Start Protokolle in den Verkehrs Protokollen angezeigt?

46743
Created On 09/25/18 19:48 PM - Last Modified 06/07/23 06:48 AM


Resolution


Details

Sitzungsstart Protokolle werden auf dem ersten Datenpaket generiert und nicht direkt nach dem drei-Wege-Handshake. Zum Beispiel, wenn die Sicherheitspolitik hat sich nur in der Sitzung zu protokollieren, und es stellt den drei-Wege-Handschlag zwischen dem Client und dem Server, und sendet keine Daten, wird die Sitzung auf der Palo Alto Networks Firewall existieren, aber die Verkehrsprotokolle werden nicht über eine entsprechenden Log-Eintrag. Der Benutzer muss einige Daten durch die Verbindung drücken, bevor das Session-Start Protokoll angezeigt wird.

 

Es folgen vier erprobte Szenarien:

 

Szenario 1

Die RichtLinien für die Protokollierung bei der Sitzung beginnen nur

Telnet zu einem Zielhost an einem höheren Port 13050. (Geben Sie keine Pakete durch die etablierte Telnet-Sitzung, sondern legen Sie nur den drei-Wege-Handshake fest)

  1. ÜberPrüfen Sie die etablierte Sitzung auf der Firewall (der Benutzer wird eine Session dport: 13050 als aktiv sehen, und nur 3 Pakete können zu diesem Zeitpunkt gesehen werden)
  2. Check Monitor > Logs > Traffic. (Der Benutzer wird kein Protokoll für diese Sitzung finden, da noch keine Daten übergeben wurden)

 

Szenario 2

Die RichtLinien für die Protokollierung bei der Sitzung beginnen nur

Telnet zu einem Zielhost in einem höheren Port 13050 und Pakete durch diese Sitzung passieren

  1. ÜberPrüfen Sie die Sitzungen auf der Firewall. (Der Benutzer wird eine Session dport: 13050 als aktiv sehen, und mehr als drei Pakete sind zu dieser Zeit zu sehen)
  2. Kein Verkehrsprotokoll für den Handschlag. Im Moment, in dem der Verkehr vergeht, wird ein Protokoll erstellt.

 

Szenario 3

RichtLinie für die Protokollierung bei Sitzungsstart und Sitzungs Schluss

Telnet zu einem Zielhost an einem höheren Port 13050. (Geben Sie keine Pakete durch die etablierte Telnet-Sitzung, sondern legen Sie nur den drei-Wege-Handshake fest)

  1. ÜberPrüfen Sie die etablierte Sitzung auf der Firewall (der Benutzer wird eine Session dport: 13050 als aktiv sehen, und nur 3 Pakete können zu diesem Zeitpunkt gesehen werden)
  2. Check Monitor > Logs > Traffic. (Der Benutzer wird kein Protokoll für diese Sitzung finden, da noch keine Daten übergeben wurden)
  3. Geben Sie einige Zeichen/Pakete durch diese Sitzung und lassen Sie es mal aus oder töten Sie die Telnet-Sitzung. Der Benutzer wird ein ' Start '-log und ' End '-log sehen.

Szenario 4

RichtLinie für die Protokollierung am Sitzungs Ende nur

Telnet zu einem Zielhost an einem höheren Port 13050. (Geben Sie keine Pakete durch die etablierte Telnet-Sitzung. Nur drei-Wege-Handshake)

  1. ÜberPrüfen Sie die Sitzungen auf der Firewall. (Der Benutzer wird eine Session dport: 13050 als aktiv sehen, nur 3 Pakete sind zu dieser Zeit zu sehen, was offensichtlich ist)
  2. Die Session zu töten. (STRG + C).  Das Verkehrsprotokoll für die Sitzung kann vom Typ = Ende gesehen werden

 

Besitzer: Pmak
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldwCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language