如何在防火墙日志中显示X-Forwarded-For(X 转发-XFF)-For值

如何在防火墙日志中显示X-Forwarded-For(X 转发-XFF)-For值

13499
Created On 05/11/22 02:19 AM - Last Modified 01/07/25 08:11 AM


Objective


  • 在流量、威胁、数据过滤和URL过滤等日志中显示“ X-Forwarded-For(X 转发-XFF)-For ”值。
  • 默认情况下,“使用X-Forwarded-For(X 转发-XFF)-For标头”是禁用的,并且防火墙不会从客户端请求中的X-Forwarded-For(X 转发-XFF)-For (XFF) 标头中读取 IP 地址。
  • 为了在日志中显示XFF标头,必须首先在策略中使用XFF值。请参阅在安全策略和日志记录中使用XFF IP 地址值

Environment


  • Palo Alto NGFW 防火墙
  • PAN-OS 9.1 或更高版本
  • X-Forwarded-For(X 转发-XFF)-For (XFF)标头

Procedure



对于流量、威胁、数据过滤或 Wildfire 提交:
  1. 选择 GUI:设备 > 设置 > Content-ID > X-Forwarded-For(X 转发-XFF)-For标头。
  2. 从“使用X-Forwarded-For(X 转发-XFF)-For标头下拉菜单中选择“启用安全策略”。
  3. 提交更改。
  4. 导航到 GUI:监控 > 日志 > 流量(或威胁、数据过滤或野火提交)
  5. 单击任意列标题右侧的箭头并选择“列” ,然后选择“ X-Forwarded-For(X 转发-XFF)-For IP”以在日志中显示XFF IP。

对于URL过滤日志:
  1. 选择 GUI:设备 > 设置 > Content-ID > X-Forwarded-For(X 转发-XFF)-For标头。
  2. 从“使用X-Forwarded-For(X 转发-XFF)-For标头下拉菜单中选择“为 User-ID 启用
  3. 提交更改。
  4. 导航到 GUI:监控 > 日志 > URL过滤。
  5. 如果XFF IP 没有解析为用户名,它将出现在“源用户列”中。

注意:使用X-Forwarded-For(X 转发-XFF)-For Header 进行安全策略和 User-ID 不能同时启用。

Additional Information


在日志中显示XFF值
使用XFF标头中的 IP 地址来排除事件故障

X-Forwarded-For(X 转发-XFF)-For Header 的默认设置是禁用的。
GUI:设备 > 设置 > Content-ID > X-Forwarded-For(X 转发-XFF)-For标头 > 使用X-Forwarded-For(X 转发-XFF)-For标头:已禁用。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CpWrCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language