Tutorial: gefilterte logweiterleitung
Resolution
Hallo alle, das ist Kim aus dem Palo Alto Networks Community Team, das Ihnen ein neues Video-Tutorial für Palo Alto Networks bringt.
Im heutigen Video werde ich über ein Feature gehen, das nicht gerade neu ist, aber durch die populäre Nachfrage erheblich verbessert wurde.
Die logweiterleitung gibt es seit jeher auf unseren Firewalls. Das Feature hatte jedoch seine Grenzen.
Lassen Sie zum Beispiel sagen, dass Sie bestimmte Protokolle weiterleiten wollen, um mit der Fehlerbehebung eines bestimmten Problems zu beginnen. Vor Pan-OS 8 mussten Sie eine Sammlung von Protokollen nach Schwere oder Art wählen, anstatt den Satz von Protokollen, die Sie tatsächlich interessieren. Das ist überhaupt nicht granulär und meistens landet man bei einer Flut unerwünschter Protokolle, die man noch manuell durch Filtern muss.
Als Reaktion auf diese Einschränkung wird diese Verbesserung es Ihnen ermöglichen, benutzerdefinierte Filter für die Log-Weiterleitung zu verwenden.
Gehen wir weiter zu unseren Firewalls und ich zeige Ihnen genau, wie es früher aussieht, im Gegensatz zu dem, wie wir es in Pan-OS 8,0 verbessert haben.
Wie Sie hier sehen können, habe ich mich in meine Firewall eingeloggt, die derzeit Pan-OS-Version 7.1.3 läuft.
Schauen wir uns an, wie die Log-Weiterleitung aussieht. Klicken Sie einfach auf die Registerkarte Objekte und auf der linken unteren Seite finden Sie ' log Forwarding '.
Es ist bereits ein Profil konfiguriert, aber um dieses Video Willen, lassen Sie schnell eine neue hinzufügen, um zu sehen, was genau wir hier tun können. Klicken Sie einfach auf den Knopf hinzufügen und geben Sie Ihrem Profil einen Namen. Jetzt merken Sie, es gibt nicht viel mehr, was Sie tun können, abgesehen von der Wahl, wie Sie weiterleiten wollen (zu Panorama, senden Sie eine SNMP-Falle, senden Sie eine e-Mail oder senden Sie an einen Syslog-Server)... und auch für welche schwere Sie weiterleiten wollen. Abgesehen davon ist es nicht sehr granulär. Klicken Sie einfach auf OK, um die Konfiguration zu bestätigen.
Ebenso haben Sie die Log-Einstellungen auf der Registerkarte Device. Hier können Sie Systemprotokolle, Konfigurations Protokolle und Hip-Match-Protokolle konfigurieren. Aber beachten Sie, wie es überhaupt nicht granulare ist. Abgesehen von der Entscheidung über die schwere in den Systemprotokollen gibt es nichts mehr, was Sie hier tun können.
Sobald Sie damit fertig sind, können Sie dies tun, und das ist es im Grunde.
Lassen Sie dies nun mit einer Firewall vergleichen, die Pan-OS 8,0 konfiguriert hat.
Beachten Sie, dass ich derzeit in einer anderen Firewall mit Pan-OS 8,0 eingeloggt bin. Genau wie auf dem vorherigen Gerät lässt goto die Objekte Tab > Log Forwarding. Beachten Sie, dass einige profile bereits konfiguriert sind, aber ich werde nur eine neue für dieses Video hinzufügen.
Beachten Sie, dass dieses Fenster bereits anders aussieht als die vorherige Version.
Klicken Sie erneut auf den Knopf hinzufügen, um die Spielliste des Log-Forwarding-Profils einzugeben
Hier können Sie Ihre matchlist benennen. Wählen Sie die Art der Protokolle, auf die dieses Match-List-Profil zutrifft. Beachten Sie, dass im Gegensatz zur vorherigen Version eine größere Auswahl möglich ist: Traffic, Bedrohung, Wildfire, URL, Daten, Tunnel oder Authentifizierung (auth).
Standardmäßig leitet die Firewall alle Protokolle des ausgewählten logtyps weiter. Um eine Teilmenge der Protokolle weiterzugeben, wählen Sie einen bestehenden Filter aus dem Drop-Down oder SELECT-Filter-Builder, um einen neuen Filter hinzuzufügen. Geben Sie für jede Abfrage in einem neuen Filter die folgenden Felder an und fügen Sie die Abfrage hinzu:
In der Registerkarte Create Filter können Sie einen Filter erstellen und die Protokolle, die zu einem der aufgelisteten Kriterien passen, werden entsprechend weitergeleitet. Verwenden Sie den Reiter "gefilterte Protokolle anzeigen", um zu überprüfen, welche Protokolle genau weitergeleitet werden.
Es kann eine Herausforderung sein, einen eigenen Filter zu erstellen, aber Sie können rückwärts arbeiten und die Firewall einen Filter für Sie erstellen lassen.
Ohne einen konfigurierten Filter können Sie in die Ansicht "gefilterte Protokolle anzeigen" gehen und Sie werden eine ungefilterte Ansicht haben. Von hier aus können Sie jede Auswahl treffen und die Firewall wird einen Filter für Sie als Antwort darauf erstellen. Beachten Sie, wie die Firewall einen Filter für mich erstellt, wenn ich eine Auswahl in der Registerkarte "View gefilterte Protokolle" mache. Klicken Sie auf OK und alles, was noch zu tun ist, wählen Sie Ihre vorwärts-Methode. Sobald Sie das tun, können Sie auf den OK-Button klicken und Sie können bestätigen, ob das Log-Weiterleitungs Profil gut aussieht und Sie können noch einmal auf den OK-Button klicken.
Damit wird Ihr Log-Forwarding-Profil erstellt.
Ebenso haben Sie die Log-Einstellungen auf der Registerkarte Device. Hier können Sie Systemprotokolle, Konfigurations Protokolle, UserID, Korrelation und Hip-Match-Protokolle konfigurieren (User-ID und Korrelation sind neu in Pan-OS 8,0). Sehen Sie jetzt, wie wir hier die gleiche Granularität hinzugefügt haben.
Schauen Sie sich die Konfigurations Protokolle an. Klicken Sie auf Hinzufügen und geben Sie ihm einen Namen. Einen Filter Bauer hinzufügen und rückwärts arbeiten lassen. Zum Beispiel möchte ich alle Protokolle, in denen der Administrator nicht admin ist. Lassen Sie uns admin negieren und bestätigen, dass dies so ziemlich das ist, was wir gesucht haben. Lassen Sie uns das an Panorama weiterleiten und auf OK klicken. Wenn Sie mit dieser Konfiguration zufrieden sind, können Sie sich vorwärts bewegen und die Änderung begehen.
Damit ist dieses Video zur gefilterten Log-Weiterleitung abgeschlossen. Wie immer können Sie sich gerne zu dem Kommentarbereich unten äußern oder uns im Live-Community-Diskussions Forum erreichen.
Prost!
-Kim.