エクスポート/Syslog ログのフラグに基づいてセッションが復号化されたかどうかを確認する方法

エクスポート/Syslog ログのフラグに基づいてセッションが復号化されたかどうかを確認する方法

24006
Created On 09/26/18 13:55 PM - Last Modified 06/07/23 16:59 PM


Resolution


概要

セッションがフォワードプロキシによって復号化されたかどうかを判断するには、エクスポートログのフラグフィールドを c ヘックに設定します。

詳細

[フラグ] フィールドは、セッションを詳細に説明する複数の値の合計です。flags フィールドと値0x01000000 に対するビットごとの and 演算の合計が0より大きい場合、セッションはフォワードプロキシによって復号化されました。


ログエントリの例:

Jul 27 23:20:45 10.193.20.181 1, 2013/07/27 23:20:45, 007200001038, 交通, 終了, 1, 2013/07/27 23:20:44, 192.168.181.188, 173.194.66.94, 10.193.16.181, 173.194.66.94, l3,,, web ブラウジング, vsys1, l3-トラスト, l3-untrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/2723:20:45, 22162, 1, 1690, 443, 26104, 443,0x1400000,tcp, 許可する, 10535, 1339, 9196, 21, 2013/07/27 23:18:43, 61, 検索エンジン, 0, 11498, 0x0, 192.168.0.0-192.168.255.255, アメリカ合衆国, 0, 9, 12

Jul 27 23:22:52 10.193.20.181 1, 2013/07/27 23:22:52, 007200001038, トラフィック, 終了, 1, 2013/07/27 23:22:52, 192.168.181.188, 23.65.181.80, 10.193.16.181, 23.65.181.80, l3,,, ssl, vsys1, l3-トラスト, l3-untrust, ethernet1/4, ethernet1/3, ubuntu1, 2013/07/2723:22:52, 22221, 1, 1699, 443, 54395, 443,0x400000, tcp, 許可, 116882, 5721, 111161, 131, 2013/07/27 23:21:14, 68, コンテンツ配信ネットワーク, 0, 11523, 0x0, 192.168.0.0-192.168.255.255, アメリカ合衆国, 0, 48, 83

Jul 27 23:55:17 10.193.20.181 1, 2013/07/27 23:55:17, 007200001038, 脅威, ウイルス, 1, 2013/07/27 23:55:11, 188.40.238.252, 192.168.181.188, 188.40.238.252, 10.193.16.181, l3,,, ウェブブラウジング, vsys1, l3-untrust, l3-トラスト, ethernet1/3, ethernet1/4, ubuntu1, 2013/07/2723:55:16, 22631, 1, 443, 1721, 443, 33657,0x81400000, tcp, 拒否, "eicar", eicar テストファイル (100000), 任意, 中, サーバー-クライアント, 1939, 0x0, ドイツ, 192.168.0.0-192.168.255.255, 0,

この例では、パロアルトネットワークファイアウォールの復号化は、"検索エンジン" と "コンピュータとインターネット情報" というカテゴリに対して有効になっています。

最初のログ:

カテゴリ: 検索エンジン-フラグ: 0x1400000

0x1400000 & 0x01000000 = 0x01000000 > 0これは、セッションが復号化されたことを意味

0x1400000 & 0x00400000 = 0x00400000 これはセッションが natted であったことを意味する

2番目のログ:

カテゴリ: コンテンツ配信-ネットワーク-フラグ: 0x400000

0x400000 & 0x01000000 = 0つまり、セッションは復号化されませんでした

0x400000 & 0x00400000 = 0x400000 これはセッションが natted であったことを意味する

3番目のログ:

カテゴリ: コンピュータとインターネット情報 (このログには表示されません)-フラグ: 0x81400000

0x81400000 & 0x80000000 = 0x80000000 これは、セッションのパケットキャプチャがあることを意味します。

0x81400000 & 0x01000000 = 0x01000000 これは、セッションが復号化されたことを意味

0x81400000 & 0x00400000 = 0x00400000 これはセッションが natted であったことを意味する

所有者: rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1JCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language