Wie man die Quelle der Benutzer Mappings bestimmt

Wie man die Quelle der Benutzer Mappings bestimmt

66844
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:07 AM


Resolution


Übersicht

Für IP-to-User-Mappings haben viele Netzwerke mehr als ein überwachtes aktives Verzeichnis oder Domain-Controller zur Datenredundanz. Fehler Behebungs Probleme bei der Benutzer Kartierung können schwieriger sein, wenn die Quelle einer bestimmten Benutzer Abbildung unbekannt ist. In diesem Dokument wird dargestellt, wie man den Befehl > Log-Benutzer anzeigen verwenden kann , um nützliche Informationen über die Informationen zur Benutzer Kartierung zu erhalten, einschließlich der, wie die Benutzer Abbildung von der Firewall erlernt wurde.

 

Schritte

Als Beispiel werden ein User-ID-Agent (Agent243) und eine Agenten lose User-ID (Agentless243) auf der Firewall konfiguriert.

  1. ÜberPrüfen Sie die konfigurierten Quellen, aus denen Sie Benutzer Mappings lernen.
    1. Für User-ID-Agenten, die auf einem Windows-Rechner gehostet werden, verwenden Sie den Befehl:
      > Benutzer Benutzer-ID-Agent-Statistiken anzeigen
    2. Für die Agenten lose User-ID, die auf der Firewall konfiguriert ist, verwenden Sie den folgenden Befehl:
      > User Server anzeigen-Monitor Statistiken
  2. ÜberPrüfen Sie die Benutzer Mappings, die derzeit auf der Firewall erlernt werden, mit einem dieser Befehle.
    1. Für alle bekannten Mappings auf der Firewall:
      > Benutzer User-Ip-Mapping zeigen alle
    2. Für Benutzer Mappings zu einem bestimmten IP-Beispiel 1.1.1.1:
      > User IP anzeigen-User-Mapping IP 1.1.1.1
  3. Sobald Sie genug über die konfigurierten Datenquellen oder Benutzer wissen, können Sie den Befehl > Log-Login verwenden, um weitere nützliche Informationen über die Benutzer Mappings abzuleiten.
    Hinweis: der Debug-Modus sollte auf dem User-ID-Prozess aktiviert werden, um eine eingehende Protokollierung
    • Aktivierter Debug-Modus
      > Debug User-ID Log-IP-User-Mapping ja
    • Debug-Modus deaktivieren, nachdem Sie die gewünschten Protokolle erworben haben
      > Debug User-ID Log-IP-User-Mapping No

 

Beispiele für die Verwendung des Show-Log-UserID-Befehls:

  • Bestimmen Sie die neuesten Adressen, die Sie aus der gutlosen User-ID-Quelle gelernt haben:
> Log-UserID-DataSourceName gleich Agentless243 Richtung gleiche rückwärts

Domäne, empfangsZeit, serielle #, Typ, Bedrohung/Content-Typ, Konfigurations Version, 
Zeit Generierung, virtuelles System, IP, Benutzer, DataSourceName, EventID, Wiederholungszahl, Timeout, 
beginport, Endport, DataSource, DataSourceType, Seqno, actionFlags

1, 2013/10/17 17:31:05, 0006C114479, UserID, Login, 4, 2013/10/17 17:31:05, vsys1,
10.66.22.60, plano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0
 , unbekannt, 4434, 0x0

1, 2013/10/17 17:29:58, 0006C114479, UserID, Login, 4, 2013/10/17 17:29:58, vsys1, 10.66.22.85, plano2008r2\ldapsvc, Agentless243,
0, 1, 2700, 0, 0, Active-Verzeichnis,
unbekannt, 4342, 0x0       

 

  • Bestimmen Sie die aktuellsten Mappings, die Sie für IP-Adresse erhalten haben 192.168.40.212:
> Log-UserID-IP in 192.168.40.212 Richtung gleiche rückwärts

Domäne anzeigen, Zeit erhalten, seriell #, Typ, Bedrohung/Content-Typ, Konfigurations Version, 
Zeit generieren, virtuelles System, IP, Benutzer, DataSourceName, EventID, Wiederholungszahl, Timeout,
beginport, Endport, DataSource, datasourcetyp, Seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, UserID, Login, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, Plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, Agent, unbekannt, 18,
0x0

 

  • Bestimmen Sie die Mappings, die durch Kerberos Authentifizierung identifiziert wurden:
> Log-UserID-DataSourceType gleich Kerberos anzeigen

 

  • Bestimmen Sie die frühesten neueren Mappings für Benutzer ' piano2008r2\userid '
>  Log-UserID-Benutzer gleich ' piano2008r2\userid '-

Domain anzeigen, Zeit erhalten, seriell #, Typ, Bedrohung/Content-Typ, Konfigurations Version, 
Zeit generieren, virtuelles System, IP, Benutzer, DataSourceName, EventID, Wiederholungszahl, Timeout,
beginport, Endport, DataSource, DataSourceType, Seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, UserID, Login, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid,Agent243, 0, 1, 3600, 0,0, Agent, unknown, 8, 0x0

1, 2013/10/17 17:11:54, 0006C114479, USERID, Login, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,Piano2008r2\userid,Agentless243, 0, 1, 2700, 0, 0, Active-Verzeichnis,
unbekannt, 21, 0x0

Hinweis: der obige Befehl enthält die Domain und den Benutzernamen in Anführungszeichen und das Richtungs Stichwort wurde ausgelassen. Dieser Benutzer wurde auch aus den Quellen der Agentless und User-ID-Agenten gelernt.

 

  • Zeigen Sie alle Protokolle, die mit UserID verwandt sind:
> Log-UserID anzeigen

 

Besitzer: Tasonibare
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpCCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language