问题
无代理用户 ID 功能配置为使用服务器操作员和事件日志读取器凭据启用客户端探测。查看 IP 映射时, IPs 使用服务 (admin) 用户名而不是实际用户名进行映射。
注意:在 PAN OS 5.0 中引入无代理用户 ID.
下面是此方案中的用户 IP 映射表的示例:
10.38.135.32 vsys1 广告领域/管理 1995 1995
10.39.240.252 vsys1 广告 blr-els-nw-ts-1\administrator 1222 1222
172.16.114.58 vsys1 未知 0 3
10.38.17.242 vsys1 广告 sw017242\administrator 429 429
10.38.35.31 vsys1 未知 2 5
10.38.41.125 vsys1 广告领域/管理 98 98
10.38.41.124 vsys1 广告领域/管理 876 876
10.38.39.79 vsys1 广告领域/管理 2169 2169
10.17.58.44 vsys1 广告 odls-win7\administrator 1708 1708
10.38.172.154 vsys1 广告领域/管理 1332 1332
10.20.139.164 vsys1 广告领域/管理 1803 7
10.38.153.80 vsys1 未知 1 4
10.38.97.115 vsys1 广告领域/管理 227 227
10.38.172.159 vsys1 广告领域/管理 1450 1450
10.38.39.243 vsys1 未知 0 3
上面的域/管理员是具有事件日志读取器、服务器操作员和分布式 COM 用户权限的用户凭据.
相应的用户 id 日志可能显示如下:
管理员 > 显示日志用户标识方向等于向后
域、接收时间、序列号、类型、威胁/内容类型、配置版本、生成时间、虚拟系统、ip、用户、datasourcename、eventid、重复计数、超时、beginport、endport、数据源、datasourcetype、seqno、actionflags
12013/03/19 10:55:23,0009C101625, 用户名, 登录, 32013/03/19 10:55:23, vsys1,10.38.97.103, 域/管理员, 探测, 01, 27000, 0, 活动目录, 未知, 1861,0x0
12013/03/19 10:52:54,0009C101625, 用户名, 登录, 32013/03/19 10:52:54, vsys1,10.38.45.188, 域/管理员, 探测, 01, 27000, 0, 活动目录, 未知, 1860,0x0
12013/03/19 10:52:44,0009C101625, 用户名, 登录, 32013/03/19 10:52:44, vsys1,10.38.97.120, 域/管理员, 探测, 01, 27000, 0, 活动目录, 未知, 1859,0x0
12013/03/19 10:51:34,0009C101625, 用户名, 登录, 32013/03/19 10:51:34, vsys1,10.38.41.0, 域/管理员, 探测, 01, 27000, 0, 活动目录, 未知, 1858,0x0
12013/03/19 10:50:22,0009C101625, 用户名, 登录, 32013/03/19 10:50:22, vsys1,10.38.61.51, ixia6151 \ 管理员, 探测, 01, 27000, 0, 活动目录, 未知, 1857,0x0
原因
客户端探测器在 AD 的事件日志中使用相同的用户名执行。管理员用户探测成功地为正在探测的所有 IPs, 并且 IP 映射中的实际用户名被管理用户名覆盖。
解决办法
将管理员用户放在 "忽略" 列表中, 以防止用户名被覆盖。
- 在配置模式下输入 CLI。
>> 配置
- 将管理员用户添加到 "忽略" 列表中。
# 设置用户 id-收集器忽略-用户 [域 \ 管理员管理]
另一个标准格式的示例:
# 设置用户 id-收集器忽略-用户 [AD2008\test 测试]
要添加在一个使用中, 不要使用方括号
# 设置用户 id 收集器忽略-用户 AD2008\test
- 提交更改
# 提交
所有者: anatrajan