Cómo crear expresiones regulares para asignaciones de ID de usuario de syslog

• PANOS-11.1.4-hx
• PA-5250
• Servidor syslog para asignaciones de IP

User-ID puede utilizar mensajes de syslog para completar la asignación de usuario a IP del cortafuegos. Un método para analizar la información de los mensajes de syslog es utilizar "expresiones regulares". Los ejemplos que utilizo deberían funcionar en la mayoría de los casos.

1. Para extraer el nombre de usuario y la Dirección IP del mensaje de syslog , debe incluir parte del mensaje antes del nombre de usuario que desea utilizar. Por ejemplo, "Nombre de usuario (") aparece justo antes del nombre de usuario, por lo que una expresión regular que se puede utilizar es:

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. Para extraer la IP, debe incluir parte del mensaje antes de la Dirección IP que desea utilizar. En la entrada del mensaje de syslog que aparece a continuación, el carácter ", IP" precede a la Dirección IP. Por lo tanto, una expresión regular que se puede utilizar es:

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s