Wie man vordefinierte Syslog-Filter in PAN-OS lokalisiert

PAN-OS 6.0

Details

In PAN-OS-6,0 sind vordefinierte Syslog-Filter aus der Version 418 der gelieferten Anwendungen und Bedrohungen- Inhalte enthalten. Das Beispiel Screenshot unten zeigt die Seite Device > Dynamic Updates auf dem Web-UI und zeigt, dass die Version 418 der Content-Distribution derzeit installiert ist:

Palo Alto Networks stellt mehrere vordefinierte Syslog-Filter zur Verfügung und wird als Anwendungs Inhalt geliefert (der für eine dynamische Aktualisierung geplant werden kann). Die vordefinierten Filter sind global für die Firewall, während manuell definierte Filter nur für ein einziges virtuelles System gelten.

Hinweis: der User-ID-Agent hat derzeit nicht die vordefinierten Filter und müsste manuell hinzugefügt werden.

Schritte

Finden Sie die vordefinierten Syslog-Filter mit den folgenden Schritten:

1. Melden Sie sich in der Web-UI
2. Gehen Sie zum Gerät > Benutzeridentifikation > Benutzer Abbildung
3. Bearbeiten Sie den Bereich Palo Alto Networks User-ID Agent Setup
4. Auf dem Pop-up-Fenster, das erscheint, gehen Sie auf die Registerkarte Syslog-Filter
   

Die vordefinierten Syslog-Filter, die im obigen Screenshot angezeigt werden, sind unten vorgesehen. Beachten Sie, dass der Code nicht als XML-Konfiguration kopiert und eingefügt werden sollte.

    syslog-Parse-profile {

      "Citrix Access Gateway v 1.0.0" {

        Regex-Identifier {

          Event-Regex SSLVPN \ LOGIN

          Benutzername-Regex User ([a-zA-Z0-9\_] +)

          Adresse-Regex Nat_ip ([A-F0-9a-f:.] +)

        }

      }

      "Aerohive AP v 1.0.0" {

        Regex-Identifier {

          Event-Regex auth \:

          Benutzername-Regex username ([a-zA-Z0-9\_] +)

          Adresse-Regex IP ([A-F0-9a-f:.] +)

        }

      }

      "Cisco ASA IPSec v 1.0.0" {

        Regex-Identifier {

          Event-Regex Group<|=></|=>

          Benutzername-Regex (?: User<([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+)) ==""></([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+))>

          Adresse-Regex IP (?:<([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+)) ==""></([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+))>

        }

      }

      "Cisco ASA Any Connect v 1.0.0" {

        Regex-Identifier {

          Event-Regex Group<|=></|=>

          Benutzername-Regex (?: User<([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+)) ==""></([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+))>

          Adresse-Regex IP (?:<([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+)) ==""></([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+))>

        }

      }

      "Juniper SA Net Connect v 1.0.0" {

        Regex-Identifier {

          Event-Regex Session \ gestartet

          username-Regex (?: \] | \,) \s ([a-zA-Z0-9\_] +)

          Adresse-Regex IP ([A-F0-9a-f:.] +)

        }

      }

      "Juniper IC v 1.0.0" {

        Regex-Identifier {

          Event-Regex Login \ gelungen

          Benutzername-Regex User = ([a-zA-Z0-9\_] +)

          Adresse-Regex src = ([A-F0-9a-f:.] +)

        }

      }

      "UNIX PAM Authentication" {

        Regex-Identifier {

          Event-Regex (Akzepted\spassword\s) {1}

          Benutzername-Regex password\sfor\s ([a-zA-Z0-9\._] +) \sfrom

          Adresse-Regex ([0-9] {1, 3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1, 3}) \s

        }

      }

      "Squid Web Proxy Authentication" {

        Regex-Identifier {

          Event-Regex (TCP_HIT | TCP_MEM | TCP_MISS | TCP_NC_MISS) {1}

          username-Regex \/\ s ([a-zA-Z0-9\._] +) \s

          Adresse-Regex \s ((?:(?: [0-9] {1, 3} \.) {3} [0-9] {1, 3}) | (?:(?: [a-zA-Z0-9] {1, 4} \: {1, 2}) {1, 7} [a-zA-Z0-9] {1, 4})) \sTCP

        }

      }

      "SSH Authentication" {

        Regex-Identifier {

          Event-Regex (sshd. * akzeptiert)

          username-Regex for\s ([A-Za-z0_9] +)

          Adresse-Regex ([0-9] {1, 3} \. [ 0-9] {1,3} \. [0-9] {1, 3} \. [0-9] {1, 3}) \s

        }

      }

      "BlueCoat Proxy SG Proxy log" {

        Regex-Identifier {

          Event-Regex (\-\sPROXIED) {1}

          Benutzername-Regex \S [0-9] {1, 3} \. [0-9] {1, 3} \. [0-9] {1, 3} \. [0-9] {1, 3} \s ([a-zA-Z0-9\_] +) \s\-

          Adresse-Regex \s ((?:(?: [0-9] {1, 3} \.) {3} [0-9] {1, 3}) | (?:(?: [a-zA-Z0-9] {1, 4} \: {1, 2}) {1, 7} [a-zA-Z0-9] {1, 4})) \s [a-zA-Z0-9\_] + \s\-

        }

      }

      "BlueCoat Squid Web Proxy Authentication" {

        Regex-Identifier {

          Event-Regex (TCP_HIT | TCP_MEM | TCP_MISS | TCP_NC_MISS) {1}

          username-Regex \s ([a-zA-Z0-9\._] +) \ s \-\/

          Adresse-Regex \s ((?:(?: [0-9] {1, 3} \.) {3} [0-9] {1, 3}) | (?:(?: [a-zA-Z0-9] {1, 4} \: {1, 2}) {1, 7} [a-zA-Z0-9] {1, 4})) \sTCP

        }

      }

      "BlueCoat Log Main Format Proxy Authentication" {

        Regex-Identifier {

          Event-Regex (TCP_HIT | TCP_MEM | TCP_MISS | TCP_NC_MISS) {1}

          username-Regex \s\-\s ([a-zA-Z0-9\_] +) \s\-\s

          Adresse-Regex \s ((?:(?: [0-9] {1, 3} \.) {3} [0-9] {1, 3}) | (?:(?: [a-zA-Z0-9] {1, 4} \: {1, 2}) {1, 7} [a-zA-Z0-9] {1, 4})) \s

        }

      }

}

Besitzer: Dmaynard