ユーザー- ID キャッシュタイムアウトのトラブルシューティング
42873
Created On 03/23/21 14:00 PM - Last Modified 06/12/23 13:58 PM
Symptom
特定のユーザー アカウントに対して構成されたセキュリティ ポリシーが一致しなくなるため、接続の問題が発生します。 トラフィック ログは、トラフィックが最初に正しいポリシーと一致していて、ユーザー情報が入力されていたことを示しますが、しばらくするとトラフィックが間違ったポリシーにヒットし始め、ユーザー情報は入力されません。
Cause
これは、ユーザー IP・マッピングへの新規が生成される前にタイムアウト値に達しているUser-cacheIDタイムアウトが原因である可能性があります。 これにより、特定のユーザーが でユーザー IP マッピングに対するマッピングを 持たなくなります firewall 。
Resolution
toIPユーザー マッピングが生成されると、タイムアウト値が表示され、この値は [監視] タブの下に表示されます-> ログ -> webUI ID 上のユーザー。
このタイムアウトは、マッピングが削除されるまでキャッシュに保存される時間を指定します。 さらに、新しい User-ID イベントが処理された場合は、更新されます。 次 TTL のコマンドを使用 IP して、ユーザー マッピング エントリの現在の状態を表示できます CLI 。
show user ip-user-mapping all show user ip-user-mapping ip <ip>
いくつかのサンプル出力の下に見てください:
キャッシュタイマーまで問題をトレースするには:1。
2 つのログは、ユーザーのソースでフィルター処理する必要があります IP 。
- [モニタ] タブ>トラフィック>ログ
- [監視] タブ>ログ>ユーザー ID
3. ログが生成された時刻を記録し、 ユーザー ID ログに移動します。
- そのユーザーのアドレスに関する問題が発生する前の最後のエントリを検索 IP します。
- そのエントリの時刻をメモし、そのエントリのタイムアウトを追加します。
たとえば、次の例を参照してください。
- トラフィック ログで、 最初に空のソース ユーザ を持つエントリは 03/23 06:37:19 でした。
- ユーザIDログには、03/23 06:32:18 のエントリが表示され、タイムアウトは 300(5 分) になります。
結論として:
この場合の問題の原因は、to IP User Mapping を生成するイベントがキャッシュ タイムアウトよりも発生頻度が低い場合です。