セッション開始ログがトラフィックログに表示されるのはいつですか?

詳細

セッション開始ログは、3方向ハンドシェイクの直後ではなく、最初のデータパケットで生成されます。たとえば、セキュリティポリシーがセッションの開始時にのみログに記録し、クライアントとサーバー間の3方向ハンドシェイクを確立し、データを送信しない場合、セッションはパロアルトネットワークファイアウォールに存在しますが、トラフィックログには対応するログエントリ。ユーザーは、セッションの開始ログが表示される前に、接続を介していくつかのデータをプッシュする必要があります。

次に、4つのテスト済みシナリオを示します。

シナリオ 1

セッション開始時のみにログを記録するためのポリシーセット

より高いポート13050で宛先ホストへの Telnet。(確立された telnet セッションを通してパケットを渡さないで、3ウェイハンドシェイクのみを確立する)

1. ファイアウォールで確立されたセッションを確認します (ユーザーはセッション dport: 13050 をアクティブとして表示し、その時点では3パケットしか見ることができません)
2. モニター > ログ > トラフィックを確認します。(データがまだ渡されていないため、ユーザーはそのセッションのログを見つけることができません)

シナリオ 2

セッション開始時のみにログを記録するためのポリシーセット

より高いポート13050で宛先ホストに Telnet し、そのセッションを通してパケットを渡す

1. ファイアウォールのセッションを確認します。(ユーザーは、セッション dport が表示されます: 13050 アクティブとして, と3つ以上のパケットは、 その時点で見ることができます)
2. ハンドシェイクのトラフィックログがありません。トラフィックが通過した瞬間にログが作成されます。

シナリオ 3

セッションの開始時およびセッション終了時にログを記録するためのポリシーセット

より高いポート13050で宛先ホストへの Telnet。(確立された telnet セッションを通してパケットを渡さないで、3ウェイハンドシェイクのみを確立する)

1. ファイアウォールで確立されたセッションを確認します (ユーザーはセッション dport: 13050 をアクティブとして表示し、その時点では3パケットしか見ることができません)
2. モニター > ログ > トラフィックを確認します。(データがまだ渡されていないため、ユーザーはそのセッションのログを見つけることができません)
3. そのセッションを通していくつかの文字/パケットを渡し、それがタイムアウトしたり、telnet セッションを殺すことができます。ユーザーには、' start ' ログと ' end ' ログが表示されます。

シナリオ4

セッション終了時にのみログを記録するためのポリシーセット

より高いポート13050で宛先ホストへの Telnet。(確立された telnet セッションを通してパケットを渡さないでください。3ウェイハンドシェイクのみ)

1. ファイアウォールのセッションを確認します。(ユーザーは、セッションが表示されます dport: 13050 アクティブとして, 唯一の3パケットは、その時点で見ることができます, これは明らかである)
2. セッションを終了します。(CTRL + C) を押します。  セッションのトラフィックログは、型 = END を見ることができます

所有者: pmak