如何根据导出/日志记录日志中的标志确定会话是否已解密
Resolution
概述
若要确定会话是否被转发代理解密, 请在导出日志中的 "标志" 字段中进行标记.
详细
"标志" 字段是一个详细描述会话的多个值的总和。如果 "标志" 字段和值0x01000000 的按位和操作的总和大于 0, 则会话被转发代理解密。
日志条目示例:
7月27日 23:20:45 10.193.20。181 12013/07/27 23:20:45,007200001038, 交通, 末端, 12013/07/27 23:20:44,192.168.181.188,173.194.66.94,10.193.16.181,173.194.66.94, l3,,, web-browsing,vsys1,l3-trust,l3-untrust,ethernet1/4,ethernet1/3,ubuntu1,2013/07/2723:20:45,22162,1, 169044326104443,0x1400000, tcp,allow,10535,1339,9196,21,2013/07/27 23:18:43,61, 搜索引擎, 0,11498,0x0,192.168.0 0-192.168.255.255, 联合 States,0,9,12
7月27日 23:22:52 10.193.20。181 12013/07/27 23:22:52,007200001038, 交通, 末端, 12013/07/27 23:22:52,192.168.181.188,23.65.181.80,10.193.16.181,23.65.181.80, l3,,, ssl,vsys1,l3-trust,l3-untrust,ethernet1/4,ethernet1/3,ubuntu1,2013/07/2723:22:52,22221,1, 169944354395443,0x400000, tcp,allow,116882,5721,111161,131,2013/07/27 23:21:14,68, 内容传递-网络, 0,11523,0x0,192.168.0 0-192.168.255.255, 联合 States,0,48,83
7月27日 23:55:17 10.193.20。181 12013/07/27 23:55:17,007200001038, 威胁, 病毒, 12013/07/27 23:55:11,188.40.238.252,192.168.181.188,188.40.238.252,10.193.16.181, l3,,, web-browsing,vsys1,l3-untrust,l3-trust,ethernet1/3,ethernet1/4,ubuntu1,2013/07/2723:55:16,22631,1, 443172144333657,0x81400000, tcp, 拒绝, "eicar.com", eicar 测试文件 (100000), 任何, 中型, 服务器到客户端, 1939,0x0, 德国, 192.168.0. 0-192.168.255.255,0,
在此示例中, 帕洛阿尔托网络防火墙上的解密启用了以下类别: "搜索引擎" 和 "计算机和互联网信息"。
第一个日志:
类别: 搜索引擎-标志: 0x1400000
0x1400000 和 0x01000000 = 0x01000000 0这意味着会话被解密了
0x1400000 和 0x00400000 = 0x00400000 这意味着会话是 natted
第二个日志:
分类: 内容传递-网络-标志: 0x400000
0x400000 和 0x01000000 = 0这意味着会话未解密
0x400000 和 0x00400000 = 0x400000 这意味着会话是 natted
第三个日志:
分类: 计算机和互联网-信息 (在这个日志中不可见)-标志: 0x81400000
0x81400000 和 0x80000000 = 0x80000000 这意味着会话有一个数据包捕获
0x81400000 和 0x01000000 = 0x01000000 这意味着会话被解密
0x81400000 和 0x00400000 = 0x00400000 这意味着会话是 natted
所有者: rweglarz