Comment vérifier si une session est établie et les informations de la session parent
67863
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
Comment vérifier si une session est établie via la prédiction et comment vérifier les informations de session parent.
Environment
PAN-OS
Procedure
Pour obtenir la liste des sessions de prédiction, vous pouvez exécuter : afficher
la session tout type de filtre prédire
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
Les détails de la session révéleraient la session parent :
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknownLa ligne « session parent » indique la session parent. Maintenant, vous pouvez obtenir les détails de la session parent en utilisant:
afficher l’id <id></id> session
admin@Firewall> show session id 409
Session 409
c2s flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16816 dport: 21
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 21 dport: 16816
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:32:30 2019
timeout : 1800 sec
time to live : 1762 sec
total byte count(c2s) : 921
total byte count(s2c) : 783
layer7 packet count(c2s) : 14
layer7 packet count(s2c) : 9
vsys : vsys1
application : ftp
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : enabled
ctd version : 2
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/5
egress interface : ethernet1/4
session QoS rule : N/A (class 4)
end-reason : unknownLorsque le paquet de données arrive pour la session de prévision, il est converti en une session de flux normale.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
time to live : 1 sec
total byte count(c2s) : 22061222
total byte count(s2c) : 513606
layer7 packet count(c2s) : 20465
layer7 packet count(s2c) : 8560
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
parent session : 409
refresh parent session : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finPour savoir si une session FLOW " est installée via la prédiction, vérifiez s’il y a une ligne nommée " session via prédiction « . Si elle est définie sur « True », cela signifie que la session est installée via PRED . Les informations de session parent ne sont visibles que tant que la session est dans un ACTIVE état.
Si la session se déplace vers INIT (fermé) les informations de session parent est perdu.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
total byte count(c2s) : 22077452
total byte count(s2c) : 513786
layer7 packet count(c2s) : 20481
layer7 packet count(s2c) : 8563
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finDans la sortie ci-dessus, vous pouvez voir que la ligne « session parent » n’est pas disponible, mais nous pouvions encore voir si la session était en effet via la prédiction.
Additional Information
ALG les sessions capables ne sont pas déchargées. Pour vérifier si une application peut créer une session de prédiction, créez la définition de l’application à partir de CLI . L’interface Web n’affiche pas ces informations.
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;Qu’est-ce qu’une session de prédiction? Pour plus d’informations sur les sessions de prévision, veuillez consulter les articles suivants :
Palo Alto Networks Session Firewall Overview
Session States and Types