Cómo determinar el origen de las asignaciones de usuario

Cómo determinar el origen de las asignaciones de usuario

66815
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:07 AM


Resolution


Resumen

Para las asignaciones de IP a usuario, muchas redes tienen más de un controlador de dominio o Active Directory monitoreados para la redundancia de datos. Solución de problemas los problemas de asignación de usuarios pueden ser más difíciles si se desconoce el origen de una asignación de usuario determinada. Este documento presenta cómo utilizar el comando > Show log ID de usuario para obtener información útil sobre la información de asignación de usuarios, incluida la forma en que el cortafuegos aprendió la asignación de usuario.

 

Pasos

Como ejemplo, un agente de ID de usuario (Agent243) y un ID de usuario de agente (Agentless243) están configurados en el cortafuegos.

  1. Compruebe las fuentes configuradas desde las que está aprendiendo las asignaciones de usuario.
    1. Para los agentes de ID de usuario alojados en un equipo Windows, utilice el comando:
      > Mostrar estadísticas del usuario-ID-agente del usuario
    2. Para el identificador de usuario de agentless configurado en el cortafuegos, utilice el siguiente comando:
      > Mostrar las estadísticas del monitor del servidor de usuario
  2. Compruebe las asignaciones de usuario que se aprenden actualmente en el cortafuegos, utilizando cualquiera de estos comandos.
    1. Para todas las asignaciones conocidas en el cortafuegos:
      > Mostrar usuario ip mapping de usuario todos
    2. Para asignaciones de usuario a un ejemplo de IP específico 1.1.1.1:
      > Mostrar IP de usuario 1.1.1.1 de asignación de usuario IP
  3. Una vez que sepa lo suficiente acerca de los orígenes de datos o usuarios configurados, puede utilizar el comando > show log ID de usuario para obtener información más útil sobre las asignaciones de usuarios.
    Nota: el modo debug se debe activar en el proceso de ID de usuario para el registro en profundidad
    • Activado el modo de depuración
      > debug User-ID log-IP-usuario-mapping sí
    • Desactivar el modo de depuración después de adquirir los registros deseados
      > debug User-ID log-IP-usuario-mapping no

 

Ejemplos de uso del comando show log ID de usuario:

  • Determine las direcciones más recientes aprendidas de la fuente de identificación de usuario de agenless:
> Mostrar registro de ID de usuario NombreDeOrigenDeDatos igual Agentless243 dirección

de dominio posterior igual, tiempo de recepción, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar 
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, conteo de repetición, tiempo de espera, 
beginport, endport, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:31:05, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:31:05, vsys1, 10.66.22.60, Plano2008r2\userid,
Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
 Unknown, 4434, 0X0

1, 2013/10/17 17:29:58, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:29:58, vsys1,
10.66.22.85, Plano2008r2\ldapsvc, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 4342  , 0X0     

 

  • Determine las asignaciones más recientes recibidas para la dirección IP 192.168.40.212:
> Mostrar ID de usuario de registro IP en 192.168.40.212 dirección igual atrás

dominio, recibir tiempo, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar 
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, repetir conteo, tiempo de espera,
beginport, endport, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, ID de usuario, login, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, Plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, agente, desconocido, 18,
0X0

 

  • Determine las asignaciones que se identificaron mediante la autenticación Kerberos:
> Show log ID de usuario DataSourceType igual Kerberos

 

  • Determinar las primeras asignaciones recientes recibidas para el usuario ' piano2008r2\userid '
>  Mostrar registro de usuario de seudónimo igual ' Piano2008r2\userid '

dominio, tiempo de recepción, número de serie, tipo, amenaza/tipo de contenido, versión de configuración, generar 
tiempo, sistema virtual, IP, usuario, NombreDeOrigenDeDatos, EventID, recuento de repetición, tiempo de espera,
beginport, endport, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, ID de usuario, login, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243, 0, 1, 3600, 0, 0, agente, desconocido, 8, 0X0

1, 2013/10/17 17:11:54, 0006C114479, ID de usuario, login, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,Piano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 21  , 0X0

Nota: el comando anterior incluye el dominio y el nombre de usuario en Comillas y la palabra clave Direction fue dejada fuera. Este usuario también se ha aprendido de fuentes de agente de ID de agente y de usuario.

 

  • Mostrar todos los registros relacionados con el identificador de usuario:
> Mostrar ID de registro

 

Propietario: tasonibare
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpCCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language