¿Cuándo aparecen los registros de inicio de sesión en los registros de tráfico?

¿Cuándo aparecen los registros de inicio de sesión en los registros de tráfico?

46733
Created On 09/25/18 19:48 PM - Last Modified 06/07/23 06:48 AM


Resolution


Detalles

Los logs de inicio de sesión se generan en el primer paquete de datos y no justo después del apretón de dirección de tres vías. Por ejemplo, si la Directiva de seguridad sólo tiene registro en el inicio de sesión y establece el protocolo de enlace de tres vías entre el cliente y el servidor, y no envía ningún dato, la sesión existirá en el cortafuegos de Palo Alto Networks, pero los registros de tráfico no tendrán un entrada de registro correspondiente. El usuario deberá empujar algunos datos a través de la conexión antes de que aparezca el log de inicio de sesión.

 

A continuación se muestran cuatro escenarios probados:

 

Escenario 1

Conjunto de directivas para el registro en Inicio de sesión sólo

Telnet a un host de destino en un puerto 13050 más alto. (No pase los paquetes a través de la sesión telnet establecida, sólo establezca el protocolo de enlace de tres vías)

  1. Compruebe la sesión establecida en el cortafuegos (el usuario verá una sesión dport: 13050 como activo, y sólo se pueden ver 3 paquetes en ese momento)
  2. Comprobar monitor > logs > tráfico. (El usuario no encontrará ningún registro para esa sesión, ya que no se ha pasado todavía ningún dato)

 

Escenario 2

Conjunto de directivas para el registro en Inicio de sesión sólo

Telnet a un host de destino en un puerto 13050 más alto y pasar paquetes a través de esa sesión

  1. Compruebe las sesiones del cortafuegos. (El usuario verá una sesión dport: 13050 como activo, y más de tres paquetes se pueden ver en ese momento)
  2. No hay registro de tráfico para el apretón de mano. El momento en que pasa el tráfico crea un tronco.

 

Escenario 3

Conjunto de directivas para el registro en Inicio de sesión y fin de sesión

Telnet a un host de destino en un puerto 13050 más alto. (No pase los paquetes a través de la sesión telnet establecida, sólo establezca el protocolo de enlace de tres vías)

  1. Compruebe la sesión establecida en el cortafuegos (el usuario verá una sesión dport: 13050 como activo, y sólo se pueden ver 3 paquetes en ese momento)
  2. Comprobar monitor > logs > tráfico. (El usuario no encontrará ningún registro para esa sesión, ya que no se ha pasado todavía ningún dato)
  3. Pasar algunos caracteres/paquetes a través de esa sesión y dejar que el tiempo de salida o matar a la sesión de Telnet. El usuario verá un registro de ' Inicio ' y ' End '.

Escenario 4

Conjunto de directivas para el registro en el extremo de sesión sólo

Telnet a un host de destino en un puerto 13050 más alto. (No pase los paquetes a través de la sesión telnet establecida. Sólo apretón de mano de tres vías)

  1. Compruebe las sesiones del cortafuegos. (El usuario verá una sesión dport: 13050 como activo, sólo se pueden ver 3 paquetes en ese momento, lo cual es obvio)
  2. Mata la sesión. (CTRL + C).  El registro de tráfico de la sesión puede verse del tipo = END

 

Propietario: pmak
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldwCAC&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language