Quand les journaux de début de session apparaissent-ils dans les journaux de trafic?

Quand les journaux de début de session apparaissent-ils dans les journaux de trafic?

46699
Created On 09/25/18 19:48 PM - Last Modified 06/07/23 06:48 AM


Resolution


Détails

Les journaux de démarrage de session sont générés sur le premier paquet de données et pas juste après la poignée de main à trois voies. Par exemple, si la stratégie de sécurité a la journalisation au début de session uniquement et qu'elle établit la poignée de main à trois voies entre le client et le serveur, et n'envoie pas de données, la session existera sur le pare-feu de Palo Alto Networks, mais les journaux de trafic n'auront pas un entrée de journal correspondante. L'utilisateur devra pousser quelques données via la connexion avant que le journal de début de session ne s'affiche.

 

Voici quatre scénarios testés:

 

Scénario 1

Jeu de stratégie pour la journalisation au démarrage de session uniquement

Telnet à un hôte de destination à un port plus élevé 13050. (Ne pas passer les paquets à travers la session Telnet établie, seulement établir la poignée de main à trois voies)

  1. Vérifiez la session établie sur le pare-feu (l'utilisateur verra une session dport: 13050 comme actif, et seulement 3 paquets peuvent être vus à ce moment-là)
  2. Vérifiez le moniteur > logs > trafic. (L'utilisateur ne trouvera pas de journal pour cette session, car aucune donnée n'a encore été passée)

 

Scénario 2

Jeu de stratégie pour la journalisation au démarrage de session uniquement

Telnet à un hôte de destination à un port plus élevé 13050 et passer des paquets à travers cette session

  1. Vérifiez les sessions sur le pare-feu. (L'utilisateur verra une session dport: 13050 comme actif, et plus de trois paquets peuvent être vus à ce moment-là)
  2. Pas de journal de trafic pour la poignée de main. Le moment où le trafic passe, il crée un journal.

 

Scénario 3

Jeu de stratégie pour la journalisation au début de session et fin de session

Telnet à un hôte de destination à un port plus élevé 13050. (Ne pas passer les paquets à travers la session Telnet établie, seulement établir la poignée de main à trois voies)

  1. Vérifiez la session établie sur le pare-feu (l'utilisateur verra une session dport: 13050 comme actif, et seulement 3 paquets peuvent être vus à ce moment-là)
  2. Vérifiez le moniteur > logs > trafic. (L'utilisateur ne trouvera pas de journal pour cette session, car aucune donnée n'a encore été passée)
  3. Passez quelques caractères/paquets par cette session et laissez-le temps dehors ou tuez la session de Telnet. L'Utilisateur verra un log'start'et'end'log.

Scénario 4

Jeu de stratégie pour l'enregistrement à la fin de session uniquement

Telnet à un hôte de destination à un port plus élevé 13050. (Ne passez pas de paquets par le biais de la session Telnet établie. Seule poignée de main à trois voies)

  1. Vérifiez les sessions sur le pare-feu. (L'utilisateur verra une session dport: 13050 comme actif, seulement 3 paquets peuvent être vus à ce moment-là, ce qui est évident)
  2. Tuez la séance. (CTRL + C).  Le journal de trafic pour la session peut être vu du TYPE = fin

 

propriétaire : pmak
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldwCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language