Überprüfen, ob eine Sitzung eingerichtet wurde und die übergeordneten Sitzungsinformationen
67863
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
Überprüfen, ob eine Sitzung über die Vorhersage eingerichtet wird und wie die übergeordneten Sitzungsinformationen überprüft werden.
Environment
PAN-OS
Procedure
Um die Liste der Vorhersagesitzungen abzubekommen, können Sie ausführen:
Sitzung aller Filtertypen vorhersagen
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
Sitzungsdetails würden die übergeordnete Sitzung anzeigen:
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknownDie Zeile "übergeordnete Sitzung" gibt die übergeordnete Sitzung an. Jetzt können Sie die Details der übergeordneten Sitzung abrufen, indem Sie:
Sitzungs-ID <id></id> anzeigen
admin@Firewall> show session id 409
Session 409
c2s flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16816 dport: 21
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 21 dport: 16816
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:32:30 2019
timeout : 1800 sec
time to live : 1762 sec
total byte count(c2s) : 921
total byte count(s2c) : 783
layer7 packet count(c2s) : 14
layer7 packet count(s2c) : 9
vsys : vsys1
application : ftp
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : enabled
ctd version : 2
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/5
egress interface : ethernet1/4
session QoS rule : N/A (class 4)
end-reason : unknownWenn das Datenpaket für die Vorhersagesitzung eintrifft, wird es in eine normale Flusssitzung konvertiert.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
time to live : 1 sec
total byte count(c2s) : 22061222
total byte count(s2c) : 513606
layer7 packet count(c2s) : 20465
layer7 packet count(s2c) : 8560
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
parent session : 409
refresh parent session : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finUm zu erfahren, ob eine " FLOW Sitzung über Vorhersage installiert ist, überprüfen Sie, ob es eine Zeile mit dem Namen "Sitzung über Vorhersage" gibt. Wenn es auf "True" gesetzt ist, bedeutet dies, dass die Sitzung über installiert PRED wird. Die übergeordnetesitzungsinfonur ist nur sichtbar, solange sich die Sitzung in einem ACTIVE Zustand befindet.
Wenn die Sitzung nach (geschlossen) verschoben wird, INIT gehen die übergeordneten Sitzungsinformationen verloren.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
total byte count(c2s) : 22077452
total byte count(s2c) : 513786
layer7 packet count(c2s) : 20481
layer7 packet count(s2c) : 8563
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finIn der obigen Ausgabe können Sie sehen, dass die Zeile "Elternsitzung" nicht verfügbar ist, aber wir konnten immer noch sehen, ob die Sitzung tatsächlich über Vorhersage war.
Additional Information
ALG fähigen Sitzungen nicht ausgelagert werden. Um zu überprüfen, ob eine Anwendung eine Vorhersagesitzung erstellen kann, erstellen Sie die Anwendungsdefinition aus CLI . Die Weboberfläche zeigt diese Informationen nicht an.
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;Was ist eine Vorhersagesitzung? Weitere Informationen zu Vorhersagesitzungen finden Sie in den folgenden Artikeln:
Palo Alto Networks Firewall Session Overview
Session States andTypes