Cómo determinar el origen de las asignaciones de usuario
Resolution
Resumen
Para las asignaciones de IP a usuario, muchas redes tienen más de un controlador de dominio o Active Directory monitoreados para la redundancia de datos. Solución de problemas los problemas de asignación de usuarios pueden ser más difíciles si se desconoce el origen de una asignación de usuario determinada. Este documento presenta cómo utilizar el comando > Show log ID de usuario para obtener información útil sobre la información de asignación de usuarios, incluida la forma en que el cortafuegos aprendió la asignación de usuario.
Pasos
Como ejemplo, un agente de ID de usuario (Agent243) y un ID de usuario de agente (Agentless243) están configurados en el cortafuegos.
- Compruebe las fuentes configuradas desde las que está aprendiendo las asignaciones de usuario.
- Para los agentes de ID de usuario alojados en un equipo Windows, utilice el comando:
> Mostrar estadísticas del usuario-ID-agente del usuario
- Para el identificador de usuario de agentless configurado en el cortafuegos, utilice el siguiente comando:
> Mostrar las estadísticas del monitor del servidor de usuario
- Para los agentes de ID de usuario alojados en un equipo Windows, utilice el comando:
- Compruebe las asignaciones de usuario que se aprenden actualmente en el cortafuegos, utilizando cualquiera de estos comandos.
- Para todas las asignaciones conocidas en el cortafuegos:
> Mostrar usuario ip mapping de usuario todos
- Para asignaciones de usuario a un ejemplo de IP específico 1.1.1.1:
> Mostrar IP de usuario 1.1.1.1 de asignación de usuario IP
- Para todas las asignaciones conocidas en el cortafuegos:
- Una vez que sepa lo suficiente acerca de los orígenes de datos o usuarios configurados, puede utilizar el comando > show log ID de usuario para obtener información más útil sobre las asignaciones de usuarios.
Nota: el modo debug se debe activar en el proceso de ID de usuario para el registro en profundidad- Activado el modo de depuración
> debug User-ID log-IP-usuario-mapping sí
- Desactivar el modo de depuración después de adquirir los registros deseados
> debug User-ID log-IP-usuario-mapping no
- Activado el modo de depuración
Ejemplos de uso del comando show log ID de usuario:
- Determine las direcciones más recientes aprendidas de la fuente de identificación de usuario de agenless:
> Mostrar registro de ID de usuario NombreDeOrigenDeDatos igual Agentless243 dirección
de dominio posterior igual, tiempo de recepción, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, conteo de repetición, tiempo de espera,
beginport, endport, DataSource, DataSourceType, seqno, actionFlags
1, 2013/10/17 17:31:05, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:31:05, vsys1, 10.66.22.60, Plano2008r2\userid,
Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 4434, 0X0
1, 2013/10/17 17:29:58, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:29:58, vsys1,
10.66.22.85, Plano2008r2\ldapsvc, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 4342 , 0X0
- Determine las asignaciones más recientes recibidas para la dirección IP 192.168.40.212:
> Mostrar ID de usuario de registro IP en 192.168.40.212 dirección igual atrás
dominio, recibir tiempo, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, repetir conteo, tiempo de espera,
beginport, endport, DataSource, DataSourceType, seqno, actionFlags
1, 2013/10/17 17:09:33, 0006C114479, ID de usuario, login, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, Plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, agente, desconocido, 18,
0X0
- Determine las asignaciones que se identificaron mediante la autenticación Kerberos:
> Show log ID de usuario DataSourceType igual Kerberos
- Determinar las primeras asignaciones recientes recibidas para el usuario ' piano2008r2\userid '
> Mostrar registro de usuario de seudónimo igual ' Piano2008r2\userid '
dominio, tiempo de recepción, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, recuento de repetición, tiempo de espera,
beginport, endport, DataSource, DataSourceType, seqno, actionFlags
1, 2013/10/17 17:09:33, 0006C114479, ID de usuario, login, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243, 0, 1, 3600, 0, 0, agente, desconocido, 8, 0X0
1, 2013/10/17 17:11:54, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,Piano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 21 , 0X0
Nota: el comando anterior incluye el dominio y el nombre de usuario en Comillas y la palabra clave Direction fue dejada fuera. Este usuario también se ha aprendido de fuentes de agente de ID de agente y de usuario.
- Mostrar todos los registros relacionados con el identificador de usuario:
> Mostrar ID de registro
Propietario: tasonibare