Selektive Protokollweiterleitung für WildFire Protokolle Firewall mit Protokollweiterleitungsprofil

Selektive Protokollweiterleitung für WildFire Protokolle Firewall mit Protokollweiterleitungsprofil

14184
Created On 08/22/20 15:49 PM - Last Modified 03/26/21 18:34 PM


Objective


Wenn a firewall so konfiguriert ist, dass eine E-Mail-Benachrichtigung für Übermittlungen gesendet WildFire wird, können diese E-Mails für einen Administrator manchmal überwältigend sein. In diesem Fall IT möchten Administratoren möglicherweise einige der E-Mail-Benachrichtigungen unterdrücken, während sie weiterhin andere Protokolle erhalten. Beispielsweise kann ein IT Administrator es vorziehen, alle Benachrichtigungen mit Ausnahme von WildFire WildFire E-Mail-Link-Benachrichtigungen zu erhalten.

Dieses Beispiel kann für jede Art von selektiver Protokollweiterleitung verwendet werden, z. B. wenn Sie nur Bedrohungsprotokolle für Drop-Aktionen benötigen und alle anderen Protokolle an die weitergeleitet panorama werden.

Environment


  • Alle PAN-OS 
  • WildFire Lizenz

Procedure


In diesem Artikel haben wir das WildFire Log- und E-Mail-Link-Beispiel verwendet, jedoch kann die gleiche Methode für jede Protokollauswahl verwendet werden.
1.Erstellen Sie ein Protokollweiterleitungsprofil.
2.Gehen Sie zu objects->Log-Weiterleitung ->erstellen Sie ein neues Profil, und füllen Sie den Namen wie "Partial-E-Mail-Weiterleitung"
3.Klicken Sie nun auf die Schaltfläche "Hinzufügen" am linken unteren >füllen Sie den Namen aus. Im folgenden Bild lautet der Name "Email-Links", wählen Sie den "Log-Typ" als wildfire "" und wählen Sie unter Filter "Filter Builder" aus.
Logtyp auswählen
2. Wenn Sie den "Filter-Builder" auswählen, wird ein neues Fenster geöffnet, in dem Sie Einen eigenen Filter erstellen können. In diesem Fall I haben Sie "app" -> SMTP , Filetype -> E-Mail-Link ausgewählt. Sie können weitere Filter basierend auf Wildfire Protokollen oder anderen Daten hinzufügen.
 Filterauswahl für Filter builder
3. Überspringen Sie die Auswahl einer "Forward-Methode" für diesen Filter.
           Benutzeriertes Bild
4.Jetzt fügen Sie zusätzliche Profile für die Protokollweiterleitung basierend auf Ihrer Anforderung hinzu.
5.Wenn Sie kein E-Mail-Profil erstellt haben, erstellen Sie bitte eines. Weitere Informationen finden Sie hier.
      Wählen Sie einen anderen Protokolltyp aus
6. Wählen Sie den gewünschten Protokolltyp aus, und fügen Sie das E-Mail-Protokollweiterleitungsprofil hinzu.
7.Um alle anderen Protokolle von WildFire zuzulassen, mit Ausnahme des E-Mail-Links, erstellen Sie ein neues Profil mit dem negativen Zustand des vorherigen. Wählen Sie beispielsweise Filter->not((app eq SMTP ) und (filetype eq email-link) ) aus, und wählen Sie die Weiterleitungsmethode im E-Mail-Profil aus.
  Benutzeriertes Bild
8. Die endgültige Konfiguration sieht wie folgt aus.
Benutzeriertes Bild
9. Verwenden Sie nun das Protokollweiterleitungsprofil in Ihrer Sicherheit policy .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HATnCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language