ユーザーマッピングのソースを確認する方法

概要

IP からユーザーへのマッピングの場合、多くのネットワークには、データの冗長性を確保するために複数の監視対象の Active Directory またはドメインコントローラがあります。ユーザーマッピングの問題のトラブルシューティングは、特定のユーザーマッピングのソースが不明な場合に困難になる場合があります。このドキュメントでは、> [ログユーザー id の表示] コマンドを使用して、ファイアウォールによるユーザマッピングの学習方法など、ユーザーマッピング情報に関する有用な情報を取得する方法を紹介します。

手順

例として、1つのユーザー id エージェント (Agent243) と1人のエージェントレスユーザー id (Agentless243) がファイアウォール上で構成されています。

1. ユーザーマッピングを学習している構成済みのソースを確認します。
   1. Windows マシンでホストされているユーザー ID エージェントの場合は、次のコマンドを使用します。
      

      > ユーザーユーザー id エージェントの統計情報を表示する

   2. ファイアウォール上で構成されたエージェントレスのユーザー ID については、次のコマンドを使用します。
      

      > ユーザーサーバーの表示-統計情報の監視

2. これらのコマンドのいずれかを使用して、ファイアウォールで現在学習されているユーザーマッピングを確認します。
   1. ファイアウォール上のすべての既知のマッピングについて:
      

      > ip ユーザ マッピングがユーザーを表示すべて

   2. 特定の IP へのユーザーマッピングの場合-例 1.1.1.1:
      

      > ユーザー ip の表示-ユーザーマッピング ip 1.1.1.1

3. 構成されたデータソースまたはユーザーについて十分な情報が得られたら、> [ログユーザー id の表示] コマンドを使用して、ユーザマッピングに関するより有用であることを得ることができます。
   注意:詳細なロギングのために、ユーザ ID プロセスでデバッグモードを有効にする必要があります。
   • 有効なデバッグモード
     

     > デバッグユーザー id のログ-ip-ユーザー-マッピングはい

   • 目的のログを取得した後にデバッグモードを無効にする
     

     > ユーザ id ログ-ip-ユーザマッピングのデバッグなし

[ログのユーザ id を表示] コマンドの使用例:

• agenless のユーザー id ソースから得た最新のアドレスを確認します。

> 表示ログユーザー id datasourcename 等しい Agentless243 方向に等しい下位

ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザ、datasourcename、eventid、繰り返しカウント、タイムアウト、
beginport、endport、データソース、datasourcetype, seqno, actionflags

1, 2013/10/17 17:31:05, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:31:05, vsys1, 10.66.22.60, plano2008r2\userid,
Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明、4434、0x0

1、2013/10/17 17:29:58, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:29:58, vsys1,
10.66.22.85, plano2008r2\ldapsvc, Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明, 4342,  0x0    

• IP アドレス192.168.40.212 に対して受信した最新のマッピングを決定します。

> 192.168.40.212 方向に同じ下位

ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザー、datasourcename、eventid、繰り返しカウント、タイムアウト、
beginport のログユーザー id の ip を表示するendport、データソース、datasourcetype、seqno、actionflags

1, 2013/10/17 17:09:33, 0006C114479, ユーザ id, ログイン, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, エージェント, 不明, 18,
0x0 

• kerberos 認証によって識別されたマッピングを決定します。

> ログのユーザ id datasourcetype 等しい kerberos を表示する

• ユーザー ' piano2008r2\userid ' に対して受信した最も早い最新のマッピングを決定する

> 表示ログユーザー id ユーザイコール ' piano2008r2\userid '

ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザ、datasourcename、eventid、リピートカウント、タイムアウト、
beginport、endport、データソース, datasourcetype, seqno, actionflags

1, 2013/10/17:09:33, 0006C114479, ユーザ id, ログイン, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243, 0, 1, 3600, 0, 0, エージェント, 不明, 8, 0x0

1, 2013/10/1717:11:54, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,piano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明, 21,  0x0      

注: 上記のコマンドには、ドメインとユーザー名が引用符で囲まれ、方向キーワードが残されています。このユーザーは、エージェントレスとユーザー id の両方のソースからも学習されています。

• ユーザ id に関連するすべてのログを表示:

> ログのユーザ id を表示

所有者: tasonibare