ユーザーマッピングのソースを確認する方法
66838
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:07 AM
Resolution
概要
IP からユーザーへのマッピングの場合、多くのネットワークには、データの冗長性を確保するために複数の監視対象の Active Directory またはドメインコントローラがあります。ユーザーマッピングの問題のトラブルシューティングは、特定のユーザーマッピングのソースが不明な場合に困難になる場合があります。このドキュメントでは、> [ログユーザー id の表示] コマンドを使用して、ファイアウォールによるユーザマッピングの学習方法など、ユーザーマッピング情報に関する有用な情報を取得する方法を紹介します。
手順
例として、1つのユーザー id エージェント (Agent243) と1人のエージェントレスユーザー id (Agentless243) がファイアウォール上で構成されています。
- ユーザーマッピングを学習している構成済みのソースを確認します。
- Windows マシンでホストされているユーザー ID エージェントの場合は、次のコマンドを使用します。
> ユーザーユーザー id エージェントの統計情報を表示する
- ファイアウォール上で構成されたエージェントレスのユーザー ID については、次のコマンドを使用します。
> ユーザーサーバーの表示-統計情報の監視
- Windows マシンでホストされているユーザー ID エージェントの場合は、次のコマンドを使用します。
- これらのコマンドのいずれかを使用して、ファイアウォールで現在学習されているユーザーマッピングを確認します。
- ファイアウォール上のすべての既知のマッピングについて:
> ip ユーザ マッピングがユーザーを表示すべて
- 特定の IP へのユーザーマッピングの場合-例 1.1.1.1:
> ユーザー ip の表示-ユーザーマッピング ip 1.1.1.1
- ファイアウォール上のすべての既知のマッピングについて:
- 構成されたデータソースまたはユーザーについて十分な情報が得られたら、> [ログユーザー id の表示] コマンドを使用して、ユーザマッピングに関するより有用であることを得ることができます。
注意:詳細なロギングのために、ユーザ ID プロセスでデバッグモードを有効にする必要があります。- 有効なデバッグモード
> デバッグユーザー id のログ-ip-ユーザー-マッピングはい
- 目的のログを取得した後にデバッグモードを無効にする
> ユーザ id ログ-ip-ユーザマッピングのデバッグなし
- 有効なデバッグモード
[ログのユーザ id を表示] コマンドの使用例:
- agenless のユーザー id ソースから得た最新のアドレスを確認します。
> 表示ログユーザー id datasourcename 等しい Agentless243 方向に等しい下位
ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザ、datasourcename、eventid、繰り返しカウント、タイムアウト、
beginport、endport、データソース、datasourcetype, seqno, actionflags
1, 2013/10/17 17:31:05, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:31:05, vsys1, 10.66.22.60, plano2008r2\userid,
Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明、4434、0x0
1、2013/10/17 17:29:58, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:29:58, vsys1,
10.66.22.85, plano2008r2\ldapsvc, Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明, 4342, 0x0
- IP アドレス192.168.40.212 に対して受信した最新のマッピングを決定します。
> 192.168.40.212 方向に同じ下位
ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザー、datasourcename、eventid、繰り返しカウント、タイムアウト、
beginport のログユーザー id の ip を表示するendport、データソース、datasourcetype、seqno、actionflags
1, 2013/10/17 17:09:33, 0006C114479, ユーザ id, ログイン, 3, 2013/10/17 17:09:33, vsys1,
192.168.40.212, plano2008r2\tasonibare, Agent243, 0, 1, 3600, 0, 0, エージェント, 不明, 18,
0x0
- kerberos 認証によって識別されたマッピングを決定します。
> ログのユーザ id datasourcetype 等しい kerberos を表示する
- ユーザー ' piano2008r2\userid ' に対して受信した最も早い最新のマッピングを決定する
> 表示ログユーザー id ユーザイコール ' piano2008r2\userid '
ドメイン、受信時間、シリアル #、タイプ、脅威/コンテンツタイプ、Config バージョン、生成
時間、仮想システム、ip、ユーザ、datasourcename、eventid、リピートカウント、タイムアウト、
beginport、endport、データソース, datasourcetype, seqno, actionflags
1, 2013/10/17:09:33, 0006C114479, ユーザ id, ログイン, 3, 2013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243, 0, 1, 3600, 0, 0, エージェント, 不明, 8, 0x0
1, 2013/10/1717:11:54, 0006C114479, ユーザ id, ログイン, 4, 2013/10/17 17:11:54, vsys1,
10.66.22.87,piano2008r2\userid, Agentless243, 0, 1, 2700, 0, 0, active-ディレクトリ,
不明, 21, 0x0
注: 上記のコマンドには、ドメインとユーザー名が引用符で囲まれ、方向キーワードが残されています。このユーザーは、エージェントレスとユーザー id の両方のソースからも学習されています。
- ユーザ id に関連するすべてのログを表示:
> ログのユーザ id を表示
所有者: tasonibare