ユーザー- ID キャッシュタイムアウトのトラブルシューティング

ユーザー- ID キャッシュタイムアウトのトラブルシューティング

26914
Created On 03/23/21 14:00 PM - Last Modified 06/12/23 13:58 PM


Symptom


特定のユーザー アカウントに対して構成されたセキュリティ ポリシーが一致しなくなるため、接続の問題が発生します。 トラフィック ログは、トラフィックが最初に正しいポリシーと一致していて、ユーザー情報が入力されていたことを示しますが、しばらくするとトラフィックが間違ったポリシーにヒットし始め、ユーザー情報は入力されません。

Cause


これは、ユーザー IP・マッピングへの新規が生成される前にタイムアウト値に達しているUser-cacheIDタイムアウトが原因である可能性があります。 これにより、特定のユーザーが でユーザー IP マッピングに対するマッピングを 持たなくなります firewall 。

Resolution


toIPユーザー マッピングが生成されると、タイムアウト値が表示され、この値は [監視] タブの下に表示されます-> ログ -> webUI ID  上のユーザー。

ユーザー追加イメージ

このタイムアウトは、マッピングが削除されるまでキャッシュに保存される時間を指定します。 さらに、新しい User-ID イベントが処理された場合は、更新されます。 次 TTL のコマンドを使用 IP して、ユーザー マッピング エントリの現在の状態を表示できます CLI 。
show user ip-user-mapping all
show user ip-user-mapping ip <ip>

いくつかのサンプル出力の下に見てください:
ユーザー追加イメージ

キャッシュタイマーまで問題をトレースするには:1。

    2 つのログは、ユーザーのソースでフィルター処理する必要があります IP 。
  • [モニタ] タブ>トラフィック>ログ
  • [監視] タブ>ログ>ユーザー ID
2. トラフィック ログで、ユーザーが意図しないルールに達し始めた最初のエントリを見つけます。 ほとんどの環境では、これは、ゾーン間デフォルトルールのpolicy-denyログエントリ、または手動で設定されたキャッチオール拒否ルールと見なされます。 また、 これは、ソース ユーザー フィールドが空白になり始める最初のエントリとしても表示されます。

3. ログが生成された時刻を記録し、 ユーザー ID ログに移動します。
  • そのユーザーのアドレスに関する問題が発生する前の最後のエントリを検索 IP します。
  • そのエントリの時刻をメモし、そのエントリのタイムアウトを追加します。
4. その結果を記録されたトラフィックログの時刻と比較します。 結果がトラフィック ログの時刻より前の場合、To IP User マッピング が予想どおりにタイムアウトし、キャッシュ のタイムアウトを調整する必要があることを示します。

ユーザー追加イメージ

たとえば、次の例を参照してください。
  • トラフィック ログで、 最初に空のソース ユーザ を持つエントリは 03/23 06:37:19 でした。
  • ユーザIDログには、03/23 06:32:18 のエントリが表示され、タイムアウトは 300(5 分) になります。
06:32:18 + 5 分 = 06:37:18 は、 ユーザーから IP マッピングへの キャッシュが 0 に TTL 達し、削除された予想時間である必要があります。 これは、ソースユーザーがログに空白を表示する前に 1 秒前で、 IP ユーザーとマッピングの有効期限が切れている必要があることを示しています。
 
結論として:

この場合の問題の原因は、to IP User Mapping を生成するイベントがキャッシュ タイムアウトよりも発生頻度が低い場合です。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001Uu5CAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language