如何检查正在移植镜像的解密会话

如何检查正在移植镜像的解密会话

14343
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:47 PM


Resolution


帕诺斯6.0 和上升

 

阅读文档 https://live.paloaltonetworks.com/docs/DOC-6212 , 用于在帕洛阿尔托网络防火墙上配置解密镜像端口.

 

当一个会话被标记为镜像时, 防火墙会向它添加镜像标志, 因此接下来需要发送到专用接口的所有数据。 因为该标志被添加到会话中, 所以很容易在会话表和日志中搜索要转发的会话。

 

要检查哪些活动会话要转发到镜像端口, 请使用此 cli 命令:

 

admin@PA-5050-HA-Primary> 显示会话所有筛选器解密-镜像是

 

--------------------------------------------------------------------------------

ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])

Vsys Dst [Dport] / 区 (翻译 IP[Port])

--------------------------------------------------------------------------------

33557825网络浏览活动流 * NS 10.193.91.111 [55572]/不信任/6 (10.193.88.91 [47276])

vsys1 74.125.71.139 [443]/不信任 (74.125.71.139 [443])

33557818网络浏览活动流 * NS 10.193.91.111 [55564]/不信任/6 (10.193.88.91 [2860])

vsys1 216.58.209.230 [443]/不信任 (216.58.209.230 [443])

33557822网络浏览活动流 * NS 10.193.91.111 [55567]/不信任/6 (10.193.88.91 [7089])

vsys1 173.194.78.100 [443]/不信任 (173.194.78.100 [443])

33557829 youtube-基地活动流 * NS 10.193.91.111 [55576]/不信任/6 (10.193.88.91 [31508])

vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])

33557814 youtube-基地活动流 * NS 10.193.91.111 [55560]/不信任/6 (10.193.88.91 [14969])

vsys1 216.58.209.238 [443]/不信任 (216.58.209.238 [443])

33557824网络浏览活动流 * NS 10.193.91.111 [55571]/不信任/6 (10.193.88.91 [42160])

vsys1 74.125.71.155 [443]/不信任 (74.125.71.155 [443])

33557816 youtube-基地活动流 * NS 10.193.91.111 [55562]/不信任/6 (10.193.88.91 [14877])

vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])

33557813网络浏览活动流 * NS 10.193.91.111 [55558]/不信任/6 (10.193.88.91 [48370])

vsys1 216.58.209.224 [443]/不信任 (216.58.209.224 [443])

33557817 youtube-基地活动流 * NS 10.193.91.111 [55563]/不信任/6 (10.193.88.91 [17210])

vsys1 74.125.105.16 [443]/不信任 (74.125.105.16 [443])

33557828网络浏览活动流 * NS 10.193.91.111 [55575]/不信任/6 (10.193.88.91 [15106])

vsys1 216.58.209.225 [443]/不信任 (216.58.209.225 [443])

8396网络浏览活动流 * NS 10.193.91.111 [55568]/不信任/6 (10.193.88.91 [6490])

vsys1 74.125.133.155 [443]/不信任 (74.125.133.155 [443])

 

 

如果会话表是通过 webGUI 中的会话浏览器列出的, 则可以实现同样的效果。转到监视器 > 应用程序范围 > 会话浏览器。

 

在这里, 需要添加过滤器的 "解密镜像" 值为 "是"。

屏幕截图2014-12-31 在 11.25.45. png

 

当会话关闭时, 如果启用了日志末尾的会话, 则会话将在通信日志中创建日志。使用 "标志具有解密-镜像" 筛选器将在日志中显示具有 "解密-镜像" 标志的所有会话。

屏幕截图2014-12-31 在 11.20.33. png

 

现在, 如果我们查看筛选列表中的某个会话, 我们还可以看到该标志:

 

屏幕截图2014-12-31 在 11.17.03. png

 

自定义报告 

在许多情况下, 有必要报告由于法规而解密的通信量, 因此此信息还可用于为解密的通信创建自定义报表。 这可以在监视器 >> PDF 报告 > 管理自定义报告。

  1. 使用详细的通信日志数据库创建新报表。
  2. 选择所需的时间框架, 并选择所需的列, 其中建议至少有应用程序、应用程序类别、源 ip、源用户 (如果使用用户 ID) 目标 ip 和传输的数据量 (字节)。
  3. 创建将包括标志解密镜像的查询。屏幕截图2015-01-03 在 12.42.25 PM. png
  4. 使用 "立即运行" 选项测试报表, 并确认显示数据。屏幕截图2015-01-03 在 12.43.08 PM. png
    之后, 可以安排报表在间隔时间运行. 还有一个选择发送电子邮件。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrbCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language