汎 OS で定義済みの Syslog フィルターを見つける方法
Resolution
パン-OS 6.0
詳細
PAN-OS-6.0 では、定義済みの syslog フィルタは、配信されたアプリケーションと脅威のコンテンツのバージョン418から含まれています。次のスクリーンショットの例は、web UI の [デバイス] > [動的更新] ページを表示し、コンテンツ配布のバージョン418が現在インストールされていることを示しています。
パロアルトのネットワークは、いくつかの事前定義された syslog フィルタを提供し、アプリケーションのコンテンツとして配信されます (これは動的に更新するようにスケジュールすることができます)。定義済みのフィルタはファイアウォールに対してグローバルですが、手動で定義されたフィルタは単一の仮想システムにのみ適用されます。
注:ユーザー ID エージェントは、現在定義済みのフィルタを持っておらず、手動で追加する必要があります。
手順
次の手順で、定義済みの syslog フィルタを見つけます。
- web UI にログインします。
- デバイスへ移動 > ユーザー id > ユーザーマッピング
- パロアルトネットワークのユーザー ID エージェントのセットアップセクションを編集します。
- 表示されるポップアップウィンドウで、[Syslog フィルタ] タブに移動します。
上記のスクリーンショットに示されている、定義済みの syslog フィルターは以下に提供されます。コードをxml 構成 としてコピーして貼り付けることはできないことに注意してください。
syslog-パース-プロファイル {
"Citrix アクセスゲートウェイのバージョン 1.0.0" {
正規表現識別子 {
イベント-正規表現 SSLVPN \ ログイン
ユーザ名-正規表現ユーザー ([a-zA-Z0-9\_] +)
アドレス-正規表現 Nat_ip ([A-F0-9a-f:.]+)
}
}
"Aerohive AP v 1.0.0" {
正規表現識別子 {
イベント-正規表現認証 \:
ユーザ名-regex ユーザ名 ([a-zA-Z0-9\_] +)
アドレス-正規表現の ip ([A-F0-9a-f:.]+)
}
}
"シスコアサ IPSec のバージョン 1.0.0" {
正規表現識別子 {
イベント-regex グループ<|=></|=>
ユーザ名-正規表現 (?: ユーザ<([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+)) ==""></([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+))>
アドレス-正規表現の IP (?:<([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+)) ==""></([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+))>
}
}
"シスコ ASA の任意の接続の v 1.0.0" {
正規表現識別子 {
イベント-regex グループ<|=></|=>
ユーザ名-正規表現 (?: ユーザ<([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+)) ==""></([a-zA-Z0-9\_]+)IP\s)|(?:Username = ([a-zA-Z0-9\_]+))>
アドレス-正規表現の IP (?:<([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+)) ==""></([A-F0-9a-f:.]+)Address\s)|(?:IP = ([A-F0-9a-f:.]+))>
}
}
"ジュニパー SA のネット接続の v 1.0.0" {
正規表現識別子 {
イベント-regex セッション \ 開始
ユーザー名-正規表現 (?: \] |\,) \s ([a-zA-Z0-9\_] +)
アドレス-正規表現の IP ([A-F0-9a-f:.]+)
}
}
"ジュニパー IC のバージョン 1.0.0" {
正規表現識別子 {
イベント-正規表現のログインが成功しました
ユーザ名-正規表現ユーザー = ([a-zA-Z0-9\_] +)
アドレス-正規表現 src = ([A-F0-9a-f:.]+)
}
}
"Unix PAM 認証" {
正規表現識別子 {
イベント-regex (Accepted\spassword\s) {1}
ユーザー名-正規表現 password\sfor\s ([a-zA-Z0-9\._] +) \sfrom
アドレス-正規表現 ([0-9] {1, 3} \. [0-9] {1, 3} \。[0-9]{1, 3} \。[0-9]{1, 3})\s
}
}
"イカの Web プロキシ認証" {
正規表現識別子 {
イベント-正規表現 (TCP_HIT |TCP_MEM |TCP_MISS |TCP_NC_MISS) {1}
ユーザー名-正規表現 \/\ s ([a-zA-Z0-9\._] +) \s
アドレス-正規表現 \s (?:(?: [0-9] {1, 3} \.){3}[0-9]{1, 3}) |(?:(?: [Z0-9] {1, 4} \: {1, 2}){1, 7}[Z0-9]{1, 4}))\sTCP
}
}
"SSH 認証" {
正規表現識別子 {
イベント-正規表現 (sshd. * 受理)
ユーザー名-正規表現 for\s ([z0_9] +)
アドレス-正規表現 ([0-9] {1, 3} \. [0-9] {1, 3} \。[0-9]{1, 3} \。[0-9]{1, 3})\s
}
}
"海兵隊プロキシ SG プロキシログ" {
正規表現識別子 {
イベント-regex (\-\sPROXIED) {1}
ユーザー名-正規表現 \s [0-9] {1, 3} \.[0-9]{1, 3} \。[0-9]{1, 3} \。[0-9]{1, 3} \s ([a-zA-Z0-9\_] +) \s\-
アドレス-正規表現 \s (?:(?: [0-9] {1, 3} \.){3}[0-9]{1, 3}) |(?:(?: [Z0-9] {1, 4} \: {1, 2}){1, 7}[Z0-9]{1, 4}))\s [a-zA-Z0-9\_] + \s\-
}
}
"海兵隊イカ Web プロキシ認証" {
正規表現識別子 {
イベント-正規表現 (TCP_HIT |TCP_MEM |TCP_MISS |TCP_NC_MISS) {1}
ユーザー名-正規表現 \s ([a-zA-Z0-9\._] +) \ s \-\/
アドレス-正規表現 \s (?:(?: [0-9] {1, 3} \.){3}[0-9]{1, 3}) |(?:(?: [Z0-9] {1, 4} \: {1, 2}){1, 7}[Z0-9]{1, 4}))\sTCP
}
}
"海兵隊ログのメイン形式のプロキシ認証" {
正規表現識別子 {
イベント-正規表現 (TCP_HIT |TCP_MEM |TCP_MISS |TCP_NC_MISS) {1}
ユーザー名-正規表現 \s\-\s ([a-zA-Z0-9\_] +) \s\-\s
アドレス-正規表現 \s (?:(?: [0-9] {1, 3} \.){3}[0-9]{1, 3}) |(?:(?: [Z0-9] {1, 4} \: {1, 2}){1, 7}[Z0-9]{1, 4}))\s
}
}
}
所有者: dmaynard