Comment faire pour déterminer la source des mappages utilisateur

Comment faire pour déterminer la source des mappages utilisateur

66846
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:07 AM


Resolution


Vue d’ensemble

Pour les mappages IP-utilisateur, de nombreux réseaux ont plus d'un contrôleur Active Directory ou de domaine surveillé pour la redondance des données. La résolution des problèmes de mappage utilisateur peut être plus difficile si la source d'un mappage utilisateur particulier est inconnue. Ce document présente L'utilisation de la commande > show log userid pour obtenir des informations utiles concernant les informations de mappage utilisateur, y compris la façon dont le mappage utilisateur a été appris par le pare-feu.

 

Étapes

Par exemple, un agent d'id utilisateur (Agent243) et un ID utilisateur sans agent (Agentless243) sont configurés sur le pare-feu.

  1. Vérifiez les sources configurées à partir desquelles vous apprenez les mappages utilisateur.
    1. Pour les agents d'ID utilisateur hébergés sur un ordinateur Windows, utilisez la commande:
      > afficher les statistiques utilisateur User-ID-agent
    2. Pour l'ID utilisateur sans agent configuré sur le pare-feu, utilisez la commande suivante:
      > afficher les statistiques du serveur utilisateur-Monitor
  2. Vérifiez les mappages utilisateur actuellement apprises sur le pare-feu, en utilisant l'une ou L'autre de ces commandes.
    1. Pour tous les mappages connus sur le pare-feu:
      > montrer utilisateur ip-utilisateur-cartographie tous les
    2. Pour les mappages d'utilisateurs vers un exemple IP spécifique 1.1.1.1:
      > afficher IP de l'utilisateur-utilisateur-Mapping IP 1.1.1.1
  3. Une fois que vous en savez assez sur les sources de données configurées ou les utilisateurs, vous pouvez utiliser la commande > show log userid pour dériver des informations plus utiles sur les mappages utilisateur.
    Remarque: le mode debug doit être activé sur le processus D'identification de l'utilisateur pour l'enregistrement approfondi
    • Mode de débogage activé
      > Debug User-ID log-IP-utilisateur-mappage Oui
    • Désactiver le mode debug après avoir acquis les logs souhaités
      > Debug User-ID log-IP-utilisateur-mappage non

 

Exemples d'utilisation de la commande show log userid:

  • Déterminez les adresses les plus récentes tirées de la source d'id d'utilisateur inagen:
> Show log userid DataSourceName égal Agentless243 direction équivalente

en arrière domaine, de recevoir du temps, de série #, type, menace/type de contenu, config version, générer du 
temps, système virtuel, IP, utilisateur, DataSourceName, EventID, nombre de répétitions, timeout, 
beginport, EndPort, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:31:05, 0006C114479, UserID, login, 4, 2013/10/17 17:31:05, vsys1,
10.66.22.60, plano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
 inconnu, 4434, 0x0

1, 2013/10/17 17:29:58, 0006C114479, UserID, login, 4, 2013/10/17 17:29:58, vsys1,
10.66.22.85, plano2008r2\ldapsvc, Agentless243, 0, 1, 2700, 0, 0, Active-Directory, Unknown,
4342  , 0x0     

 

  • Déterminer les mappages les plus récents reçus pour l'adresse IP 192.168.40.212:
> Show log userid IP dans 192.168.40.212 direction d'égalité de domaine en arrière

, de recevoir du temps, de série #, type, menace/type de contenu, config version, générer du 
temps, système virtuel, IP, utilisateur, DataSourceName, EventID, répétition Count, timeout,
beginport, EndPort, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, UserID, login, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, Plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, agent, inconnu, 18,
0x0

 

  • Déterminez les mappages identifiés via l'authentification Kerberos:
> Show log userid DataSourceType égal Kerberos

 

  • Déterminer les premiers mappages récents reçus pour l'utilisateur'piano2008r2\userid'
>  Show log userid utilisateur égal'Piano2008r2\userid'

domaine, recevoir du temps, de série #, type, menace/type de contenu, config version, générer du 
temps, système virtuel, IP, utilisateur, DataSourceName, EventID, répétition Count, timeout,
beginport, EndPort, DataSource, DataSourceType, seqno, actionFlags

1, 2013/10/17 17:09:33, 0006C114479, UserID, login, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243, 0, 1, 3600, 0, 0, agent, inconnu, 8, 0x0

1, 2013/10/17 17:11:54, 0006C114479, UserID, login, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,piano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, Active-Directory,
Unknown, 21  , 0x0

Note: la commande ci-dessus inclut le domaine et le nom d'utilisateur dans les guillemets et le mot-clé de direction a été omis. Cet utilisateur a également été appris à partir des sources de l'agent sans agent et utilisateur-ID.

 

  • Afficher tous les journaux liés à userid:
> Show log userid

 

propriétaire : tasonibare
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpCCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language