Tutorial: reenvío de logs filtrado
Resolution
Hola a todos, este es Kim del equipo de la comunidad de Palo Alto Networks trayendo un nuevo video tutorial de Palo Alto Networks.
En el video de hoy voy a repasar una característica que no es exactamente nuevo, pero fue mejorado considerablemente por la demanda popular.
El reenvío de logs ha estado en nuestros firewalls desde siempre. Sin embargo, la característica tenía sus limitaciones.
Digamos, por ejemplo, que desea reenviar registros concretos para iniciar la solución de problemas de un problema específico. Antes de que pan-OS 8 tuvieras que elegir una colección de registros por gravedad o tipo en lugar del conjunto de registros en los que realmente te interese. Esto no es granular en absoluto y la mayoría de las veces usted terminará con una inundación de registros no deseados que todavía tiene que filtrar a través de forma manual.
En respuesta a esta limitación, esta mejora le permitirá utilizar filtros definidos por el usuario para propósitos de reenvío de logs.
Vamos a avanzar a nuestros firewalls y te voy a mostrar exactamente lo que solía parecer en comparación con cómo lo mejoró en pan-OS 8,0.
Como pueden ver aquí, he iniciado sesión en mi firewall, que actualmente está ejecutando pan-os versión 7.1.3.
Vamos a ver cómo se ve el reenvío de registros. Simplemente haga clic en la ficha objetos y en la parte inferior izquierda encontrará ' log Forwarding '.
Ya hay un perfil configurado, pero por el bien de este vídeo permite añadir rápidamente uno nuevo para ver qué es exactamente lo que podemos hacer aquí. Sólo tienes que hacer clic en el botón Añadir y dar un nombre a tu perfil. Ahora Note que no hay mucho más que usted puede hacer aparte de elegir cómo desea reenviar (a panorama, enviar una trampa SNMP, enviar un correo electrónico o enviar a un servidor syslog)... y también para qué severidad desea reenviar. Aparte de eso, no es muy granular. Basta con hacer clic en Aceptar para confirmar la configuración.
Del mismo modo, tiene la función de configuración de registro en la ficha dispositivo. Aquí puede configurar los logs del sistema, los logs de configuración y los logs de hip-Match. Pero noten cómo no es granular en absoluto. Aparte de decidir sobre la severidad en los registros del sistema no hay nada más que puedas hacer aquí.
Una vez que haya terminado de configurar esto, puede seguir adelante y cometer esto y eso es básicamente.
Ahora vamos a comparar esto con un firewall que tiene pan-OS 8,0 configurado
Tenga en cuenta que actualmente estoy logueado en otro firewall que ejecuta pan-OS 8,0. Al igual que en el dispositivo anterior permite ir a la ficha objetos > reenvío de registro. Observe que hay algunos perfiles configurados ya, pero voy a añadir uno nuevo por el bien de este video.
Observe cómo esta ventana ya se ve diferente de la versión anterior.
Haga clic de nuevo en el botón Agregar para entrar en la lista de correspondencia del perfil de reenvío de logs.
Aquí puede nombrar su lista de partidos. Seleccione el tipo de registros al que se aplica este perfil de lista de coincidencia. Observe que hay una selección más grande posible en comparación con la versión anterior: tráfico, amenaza, Wildfire, URL, datos, túnel, o autenticación (auth).
De forma predeterminada, el cortafuegos reenvía todos los registros del tipo de registro seleccionado. Para reenviar un subconjunto de los registros, seleccione un filtro existente en el desplegable o seleccione Filter Builder para agregar un nuevo filtro. Para cada consulta de un filtro nuevo, especifique los campos siguientes y añada la consulta:
En la ficha Crear filtro puede crear un filtro y los registros que coincidan con cualquiera de los criterios enumerados se reenviarán en consecuencia. Utilice la ficha ' Ver registros filtrados ' para comprobar qué registros se reenviarán exactamente.
Puede ser difícil crear su propio filtro, pero usted puede trabajar hacia atrás y hacer que el Firewall crear un filtro para usted.
Sin un filtro configurado, puede ir a la vista ' Ver registros filtrados ' y tendrá una vista no filtrada. Desde aquí puedes hacer cualquier selección y el Firewall te creará un filtro en respuesta a eso. Observe cómo el cortafuegos crea un filtro para mí cuando hago cualquier selección en la pestaña ' Ver registros filtrados '. Haga clic en aceptar y todo lo que queda por hacer es seleccionar el método forward. Una vez que lo haga, puede hacer clic en el botón Aceptar y puede confirmar si el perfil de reenvío de registro se ve bien y puede hacer clic una vez más en el botón Aceptar.
Con esto se crea el perfil de reenvío de registros.
De manera similar, tiene la función de configuración de registro en la ficha dispositivo. Aquí puede configurar logs del sistema, logs de configuración, ID de usuario, correlación y registros de coincidencia de cadera (User-ID y correlación son nuevos en pan-OS 8,0). Vea ahora cómo añadimos la misma granularidad aquí.
Revise los registros de configuración. Haga clic en agregar y déle un nombre. Permite agregar un generador de filtros y trabajar hacia atrás. Por ejemplo, quiero todos los registros donde el administrador no es admin. Vamos a negar admin y confirmar que esto es más o menos lo que estábamos buscando. Vamos a reenviar eso a panorama y haga clic en Aceptar. Si estás contento con esta configuración puedes avanzar y cometer el cambio.
Esto concluye este video en el reenvío de registros filtrados. Como siempre siéntase libre de añadir comentarios a la sección de comentarios a continuación o comunicarse con nosotros en el foro de discusiones en vivo de la comunidad.
¡Saludos!
-Kim.