有没有办法检查 GlobalProtect 上为特定远程用户检索的代理“配置名称”?
4467
Created On 01/24/22 21:15 PM - Last Modified 01/07/25 07:37 AM
Question
有没有办法检查 GlobalProtect 上为特定远程用户检索的代理“配置名称”?
Environment
- Palo Alto 防火墙
- GlobalProtect (GP) 门户/网关
- GlobalProtect 应用程序
Answer
- 是的,我们可以通过两种方式获取连接到 GP 的特定远程用户的代理“配置名称”:
- GP监视器日志可以在“ portal-getconfig ”事件期间在“描述”字段中告诉我们门户代理的“配置名称”,如下图 GUI 所示:
- 搜索字符串“ PanGPA.log中的“向我们展示了从门户中为该用户检索了哪些配置,如下所示:
- GP监视器日志可以在“ portal-getconfig ”事件期间在“描述”字段中告诉我们门户代理的“配置名称”,如下图 GUI 所示:
<agent-config name="agent-config">
<save-user-credentials>2</save-user-credentials>
<portal-2fa>no</portal-2fa>
<internal-gateway-2fa>no</internal-gateway-2fa>
<auto-discovery-external-gateway-2fa>no</auto-discovery-external-gateway-2fa>
<manual-only-gateway-2fa>no</manual-only-gateway-2fa>
<disconnect-reasons/>
<uninstall>allowed</uninstall>
<client-upgrade>prompt</client-upgrade>
<enable-signout>yes</enable-signout>
<use-sso-pin>no</use-sso-pin>
<use-sso-macos>no</use-sso-macos>
<logout-remove-sso>yes</logout-remove-sso>
<krb-auth-fail-fallback>yes</krb-auth-fail-fallback>
<default-browser>no</default-browser>
<retry-tunnel>30</retry-tunnel>
<retry-timeout>5</retry-timeout>
<traffic-enforcement>no</traffic-enforcement>
<enforce-globalprotect>no</enforce-globalprotect>
<captive-portal-exception-timeout>0</captive-portal-exception-timeout>
.
.
.
</agent-config>
- 对于无法连接到门户的用户,在PanGPA 日志中进行与上述相同的搜索可以帮助找到所使用的门户代理配置。