Tutoriel: transfert de journal filtré
Resolution
Salut tout le monde c'est Kim de l'équipe de la communauté de Palo Alto Networks vous apportant un nouveau Palo Alto Networks tutoriel vidéo.
Dans la vidéo d'aujourd'hui, je vais passer sur une fonctionnalité qui n'est pas exactement nouveau, mais a été considérablement renforcée par la demande populaire.
Le transfert de journal a été autour sur nos pare-feu depuis toujours. Cependant, la fonctionnalité avait ses limites.
Disons par exemple que vous souhaitez transférer des journaux particuliers pour démarrer le dépannage d'un problème spécifique. Avant Pan-OS 8, vous deviez choisir une collection de journaux par gravité ou par type plutôt que par l'ensemble des journaux qui vous intéressent réellement. Ce n'est pas granulaire du tout et la plupart du temps vous vous retrouverez avec un flot de journaux indésirables que vous avez encore à filtrer manuellement.
En réponse à cette limitation, cette amélioration vous permettra d'utiliser des filtres définis par l'utilisateur pour les fins de transfert de journal.
Nous allons aller de l'avant à nos pare-feu et je vais vous montrer exactement ce qu'il avait l'air comme par opposition à la façon dont nous l'avons amélioré dans Pan-OS 8,0.
Comme vous pouvez le voir ici, je me suis connecté à mon pare-feu qui est en cours d'exécution Pan-OS version 7.1.3.
Allons vérifier ce que l'acheminement des journaux ressemble. Il suffit de cliquer sur l'onglet objets et dans le coin inférieur gauche, vous trouverez'log Forwarding'.
Il ya déjà un profil configuré, mais pour l'amour de cette vidéo permet d'ajouter rapidement un nouveau pour voir ce que nous pouvons faire exactement ici. Cliquez simplement sur le bouton Ajouter et donnez un nom à votre profil. Maintenant, remarquez qu'il n'y a pas beaucoup plus que vous pouvez faire en dehors de choisir la façon dont vous voulez transférer (à Panorama, envoyer un piège SNMP, envoyer un e-mail ou envoyer à un serveur Syslog)... et aussi pour la gravité que vous voulez transmettre. A part ça, ce n'est pas très granulaire. Il suffit de cliquer sur OK pour confirmer la config.
De même, vous disposez de la fonction paramètres du journal sur l'onglet Device (périphérique). Ici vous pouvez configurer les journaux système, les logs de configuration et les journaux de correspondance hip. Mais remarquez comment il n'est pas granulaire du tout. En plus de décider de la gravité dans les journaux du système il n'y a rien de plus que vous pouvez faire ici.
Une fois que vous avez terminé la mise en place, vous pouvez aller de l'avant et de commettre cela et c'est fondamentalement elle.
Maintenant, permet de comparer cela à un pare-feu qui a Pan-OS 8,0 configuré
Notez que je suis actuellement connecté à un autre pare-feu en cours d'exécution Pan-OS 8,0. Tout comme sur l'appareil précédent permet d'aller à l'onglet objets > transfert de journal. Notez qu'il ya certains profils configurés déjà, mais je vais juste ajouter un nouveau pour le bien de cette vidéo.
Remarquez que cette fenêtre est déjà différente de la version précédente.
Cliquez de nouveau sur le bouton Ajouter pour entrer dans la liste des correspondances de profils de transfert de journal.
Ici vous pouvez nommer votre liste de match. Sélectionnez le type de journal auquel s'applique ce profil de liste de correspondance. Notez qu'il y a une plus grande sélection possible par opposition à la version précédente: trafic, menace, Wildfire, URL, données, tunnel ou authentification (auth).
Par défaut, le pare-feu transmet tous les journaux du type de journal sélectionné. Pour transférer un sous-ensemble des journaux, sélectionnez un filtre existant dans le menu déroulant ou sélectionnez générateur de filtres pour ajouter un nouveau filtre. Pour chaque requête d'un nouveau filtre, spécifiez les champs suivants et ajoutez la requête:
Dans l'onglet créer un filtre, vous pouvez créer un filtre et les journaux correspondant à l'un des critères énumérés seront transférés en conséquence. Utilisez l'onglet'afficher les journaux filtrés'pour vérifier les journaux qui seront exactement transférés.
Il peut être difficile de créer votre propre filtre, mais vous pouvez travailler en arrière et avoir le pare-feu de créer un filtre pour vous.
Sans un filtre configuré, vous pouvez accéder à la vue'afficher les logs filtrés'et vous aurez une vue non filtrée. De là, vous pouvez faire n'importe quelle sélection et le pare-feu va créer un filtre pour vous en réponse à cela. Remarquez comment le pare-feu crée un filtre pour moi lorsque je fais une sélection dans l'onglet "afficher les journaux filtrés". Cliquez sur OK et tout ce qui reste à faire est de sélectionner votre méthode Forward. Une fois que vous faites cela, vous pouvez cliquer sur le bouton OK et vous pouvez confirmer si le profil de transfert de journal semble bien et vous pouvez cliquer sur le bouton OK une fois de plus.
Avec cela, votre profil de transfert de journal est créé.
De même, vous avez la fonction paramètres du journal sur l'onglet Device. Ici, vous pouvez configurer les journaux système, les journaux de configuration, UserID, corrélation et les journaux de correspondance hip (User-ID et la corrélation sont nouveaux dans Pan-OS 8,0). Voyez maintenant comment nous avons ajouté la même granularité ici.
Vérifiez les journaux de configuration. Cliquez sur Ajouter et donnez-lui un nom. Laissez ajouter un générateur de filtres et de travailler à l'envers. Par exemple, je veux tous les journaux où l'administrateur n'est pas admin. Nous allons nier admin et de confirmer que c'est à peu près ce que nous cherchions. Let's Forward que pour panorama et cliquez sur OK. Si vous êtes heureux avec cette config, vous pouvez aller de l'avant et de valider la modification.
Ceci conclut cette vidéo sur le transfert de journal filtré. Comme toujours n'hésitez pas à ajouter des commentaires à la section commentaires ci-dessous ou nous contacter dans le forum Live Community discussions.
A bientôt !
-Kim.