如何确定用户映射的来源

如何确定用户映射的来源

66842
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:07 AM


Resolution


概述

对于 IP 到用户的映射, 许多网络有多个被监视的活动目录或域控制器来进行数据冗余。如果特定用户映射的源未知, 则解决用户映射问题可能会更加困难。本文档介绍如何使用 ">显示日志用户 id"命令获取有关用户映射信息的有用信息, 包括防火墙如何学习用户映射.

 

步骤

例如, 在防火墙上配置了一个用户 id 代理 (Agent243) 和一个无代理用户 id (Agentless243)。

  1. 验证已配置的源, 从中学习用户映射。
    1. 对于在 Windows 计算机上承载的用户 ID 代理, 请使用以下命令:
      >> 显示用户用户 id-代理统计信息
    2. 对于在防火墙上配置的无代理用户 ID, 请使用以下命令:
      >> 显示用户服务器-监视器统计信息
  2. 使用上述任一命令验证当前在防火墙上学习的用户映射。
    1. 对于防火墙上的所有已知映射:
      > 显示用户 ip 用户映射所有
    2. 对于特定 IP 示例1.1.1.1 的用户映射:
      >> 显示用户 ip-用户映射 ip 1.1.1。1
  3. 了解了已配置的数据源或用户后, 就可以使用 ">显示日志用户 id"命令来派生有关用户映射的更多有用信息.
    注意:应在用户 ID 过程中启用调试模式以进行深入日志记录
    • 启用的调试模式
      >> 调试用户 id 日志-ip-用户映射是
    • 获取所需日志后禁用调试模式
      >> 调试用户 id 日志-ip-用户映射 no

 

使用 "显示日志用户 id" 命令的示例:

  • 确定从 agenless 用户 id 源中了解到的最新地址:
>> 显示日志用户 id datasourcename 等于 Agentless243 方向等于向后

域, 接收时间, 串行 #, 类型, 威胁/内容类型, 配置版本, 生成
时间, 虚拟系统, ip, 用户, datasourcename, eventid, 重复计数, 超时,
beginport, endport, 数据源, datasourcetype, seqno, actionflags

12013/10/17 17:31:05,0006C114479, 用户 id, 登录, 42013/10/17 17:31:05, vsys1, 10.66.22.60,
plano2008r2 \ 用户 id, Agentless243,0, 127000, 0, 活动目录,
unknown,4434,0x0

12013/10/17 17:29:58,0006C114479, 用户名, 登录, 42013/10/17 17:29:58, vsys1,
10.66.22.85, plano2008r2 \ ldapsvc, Agentless243,0, 127000, 0, 活动目录,
unknown,4342,0x0      

 

  • 确定为 IP 地址192.168.40.212 接收的最新映射:
>> 显示日志用户 id ip 在192.168.40.212 方向等于向后

域, 接收时间, 串行 #, 类型, 威胁/内容类型, 配置版本, 生成
时间, 虚拟系统, ip, 用户, datasourcename, eventid, 重复计数, 超时,
beginport,endport, 数据源, datasourcetype, seqno, actionflags

12013/10/17 17:09:33,0006C114479, 用户 id, 登录, 32013/10/17 17:09:33, vsys1,
192.168.40.212, plano2008r2 \ tasonibare, Agent243,0, 136000, 0, 代理, 未知, 18,
0x0

 

  • 确定通过 kerberos 身份验证标识的映射:
>> 显示日志用户 id datasourcetype 等于 kerberos

 

  • 确定为用户 "piano2008r2\userid" 接收的最早最近的映射
>> 显示日志标识用户等于 "piano2008r2\userid"

域, 接收时间, 串行 #, 类型, 威胁/内容类型, 配置版本, 生成
时间, 虚拟系统, ip, 用户, datasourcename, eventid, 重复计数, 超时,
beginport, endport,数据源, datasourcetype, seqno, actionflags

12013/10/17 17:09:33,0006C114479, 用户 id, 登录, 32013/10/17 17:09:33, vsys1,
10.66.22.87,piano2008r2\userid, Agent243,0,1,3600,0,0,agent,unknown,8,0x0

12013/10/1717:11:54,0006C114479, 用户名, 登录, 42013/10/17 17:11:54, vsys1,
10.66.22.87,piano2008r2\userid, Agentless243,0,1,2700,0,0,active-directory,
unknown,21,0x0

注意:上面的命令包括域和引号中的用户名, 方向关键字被排除. 此用户也从无代理和用户 id 代理源中学习。

 

  • 显示与用户 id 相关的所有日志:
>> 显示日志用户 id

 

所有者: tasonibare
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpCCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language