空用户ID流量日志中的 source 字段 - 查找身份验证AD服务器
14183
Created On 06/08/22 03:08 AM - Last Modified 05/09/23 08:17 AM
Symptom
使用监控流量日志时GUI>监控 > 流量,流量日志中的某些流量缺少用户 ID。
Environment
- PAN-OS 9.1及以上。
- 任何帕洛阿尔托Firewall.
- 用户ID代理人 (UIA )
- 交通日志
- 客户端机器 - Windows
Cause
用户ID代理人 (UIA ) 服务器没有监控AD用户经过身份验证的服务器。
Resolution
- 从客户端机器验证哪个AD他们连接到的服务器,使用
- 点击开始并输入CMD(Windows Vista/7/2008) 或开始>跑步>CMD (视窗XP/2003 )
- 当。。。的时候CMD窗口打开,输入以下内容并按回车键:
echo %logonserver%
- 将显示登录服务器。
- 验证是否AD从获得的服务器详细信息多于输出被添加到用户ID代理配置监控这个AD服务器事件日志,只有这样这个用户IP映射信息才会从AD服务器到UIA.
- 如果这AD服务器丢失UIA配置,添加相同的来解决这个问题。