問題
エージェントレスのユーザー ID 機能は、サーバーオペレータとイベントログリーダーの資格情報を使用してクライアントのプロービングを有効にして構成されます。ip マッピングを表示すると、IPs は、実際のユーザー名ではなく、サービス (admin) ユーザー名でマップされます。
注:エージェントレスのユーザー ID は、PAN-OS 5.0 で導入されました。
このシナリオのユーザー IP マッピングテーブルの例を次に示します。
10.38.135.32 vsys1 広告ドメイン/管理 1995 1995
10.39.240.252 vsys1 広告 blr-els-nw-ts-1\administrator 1222 1222
172.16.114.58 vsys1 不明不明 0 3
10.38.17.242 vsys1 広告 sw017242\administrator 429 429
10.38.35.31 vsys1 不明不明 2 5
10.38.41.125 vsys1 広告ドメイン/管理 98 98
10.38.41.124 vsys1 広告ドメイン/管理 876 876
10.38.39.79 vsys1 広告ドメイン/管理 2169 2169
10.17.58.44 vsys1 広告 odls-win7\administrator 1708 1708
10.38.172.154 vsys1 広告ドメイン/管理 1332 1332
10.20.139.164 vsys1 広告ドメイン/管理 1803 7
10.38.153.80 vsys1 不明不明 1 4
10.38.97.115 vsys1 広告ドメイン/管理 227 227
10.38.172.159 vsys1 広告ドメイン/管理 1450 1450
10.38.39.243 vsys1 不明不明 0 3
上記のドメイン/管理者は、イベントログリーダー、サーバーオペレータ、および分散 COM ユーザー特権を持つユーザー資格情報です。
対応するユーザ id ログは、次のように表示されます。
管理者 > 表示ログのユーザ id の方向に等しい後方
ドメイン、受信時間、シリアル番号、タイプ、脅威/コンテンツタイプ、Config バージョン、生成時間、仮想システム、ip、ユーザ、datasourcename、eventid、リピートカウント、タイムアウト、beginport、endport、データソース、datasourcetype、seqno、actionflags
1, 2013/03/19 10:55:23, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:55:23, vsys1, 10.38.97.103, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1861, 0x0
1, 2013/03/19 10:52:54, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:52:54, vsys1, 10.38.45.188, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1860, 0x0
1, 2013/03/19 10:52:44, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:52:44, vsys1, 10.38.97.120, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1859, 0x0
1, 2013/03/19 10:51:34, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:51:34, vsys1, 10.38.41.0, ドメイン/管理者, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1858, 0x0
1, 2013/03/19 10:50:22, 0009C101625, ユーザ id, ログイン, 3, 2013/03/19 10:50:22, vsys1, 10.38.61.51, ixia6151\admin, プロービング, 0, 1, 2700, 0, 0, active-ディレクトリ, 不明, 1857, 0x0
原因
クライアントプローブは、AD のイベントログで同じユーザー名を使用して実行されます。管理者ユーザーの調査は、プローブされているすべての IPs に成功し、IP マッピングの実際のユーザー名は admin ユーザー名で上書きされます。
解決方法
ユーザ名が上書きされないようにするには、管理ユーザを無視リストに配置します。
- 設定モードで CLI を入力します。
> 構成
- 管理者ユーザーを無視リストに追加します。
# セットユーザー id-コレクターは無視-ユーザー [domain\admin 管理]
標準形式の別の例:
# set ユーザー id-コレクターは無視-ユーザー [AD2008\test テスト] は、
1 つの使用で追加するには、角括弧を使用しないでください
# セットユーザー id コレクター無視-ユーザー AD2008\test
- 変更をコミットします。
所有者: anatrajan