Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL 脅威の終了理由を示すフィルタリング ブロック - Knowledge Base - Palo Alto Networks

URL 脅威の終了理由を示すフィルタリング ブロック

50903
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM


Symptom


フィルタリング プロファイルによってブロックされている同じセッションの Web ブラウザ トラフィックには URL 、2 つの個別のログ エントリが表示されます。 1 つは 「許可」アクションを示し、もう 1 つは 「ブロック URL」を示しています。 トラフィックはブロックされましたが、脅威ログの内部に対するエントリはありません。 
ユーザー追加イメージ
ユーザー追加イメージ

IDこのセッションは 73419 です。 ID脅威ログでこのセッションを検索する場合、エントリはありません。
ユーザー追加イメージ


Cause


セッションの作成後に firewall 、"コンテンツ検査の設定" を実行します。 URLフィルタリング エンジンが を決定 URL し、適切なアクションを実行します。 

この記事では URL 、フィルタの優先順位について説明https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC


Resolution


このトラフィックの場合、カテゴリ"プライベート ip アドレス" はブロックに設定されます。 ブロック firewall する URL カテゴリセットに当たると判断されると、 firewall ブロックウェブページが挿入されます。 フィルター ログには、カテゴリ URL URL 、および実行されたアクションを示すログ エントリが記録されます。 
ユーザー追加イメージ

フィルタリングのブロックアクション URL がコンテンツエンジンで発生したため ID 、 firewall その観点からは、 TCP セッションはエンジンからのブロックなしで処理されました firewall 。 firewallエンジンは、このセッションを許可された状態で表示します。 コンテンツ ID エンジンのブロックにより、トラフィックは依然としてブロックされています。 この動作の結果   は、1 つのセッションに対して 2 つの別個のログ エントリになります。

IDセッションがタイムアウトする前に、コンテンツ エンジンがセッションをブロックしたため、ブロック アクション URL ログ エントリには firewall 、"allow" アクションを含むログ エントリよりも前の受信時刻が表示されます。 
ユーザー追加イメージ

重要な注意点の 1 つは、"脅威" の終了理由を示すセッションのすべてが脅威ログに記録されるわけではないということです。 

参照のために、以下の構成可能なプロファイルには、次のログにエントリがあります。

>ログを監視する:
  • 脅威: ウイルス対策、スパイウェア対策、脆弱性保護、DoS 保護
  • URL フィルタリング: URL プロファイルのフィルタリング
  • データフィルタリング: ファイルブロック、データフィルタリング


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSsCAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language