So erstellen Sie reguläre Ausdrücke für syslog Benutzer-ID-Zuordnungen

• PANOS-11.1.4-hx
• PA-5250
• Syslog-Server für IP-Mappings

User-ID kann syslog Meldungen verwenden, um die Benutzer-zu-IP-Zuordnung der Firewall zu füllen. Eine Methode zum Parsen der Informationen aus den syslog -Meldungen ist die Verwendung von „regulären Ausdrücken“. Die Beispiele, die ich verwende, sollten in den meisten Fällen funktionieren.

1. Um den Benutzername und die IP-Adresse aus der syslog -Nachricht zu extrahieren, müssen Sie vor dem Benutzername den Teil der Nachricht einfügen, den Sie verwenden möchten. Beispielsweise erscheint „Benutzername (“) direkt vor dem Benutzername. Ein regulärer Ausdruck, der verwendet werden kann, ist daher:

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. Um die IP zu extrahieren, müssen Sie einen Teil der Nachricht vor der IP-Adresse einfügen, die Sie verwenden möchten. Im folgenden syslog Nachrichteneintrag steht ", IP " vor der IP-Adresse. Ein regulärer Ausdruck, der verwendet werden kann, ist also:

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s