Comment créer des expressions régulières pour les mappages d'ID utilisateur syslog

• PANOS-11.1.4-hx
• PA-5250
• Serveur Syslog pour les mappages IP

L'ID utilisateur peut utiliser des messages syslog pour renseigner le mappage utilisateur-IP du pare-feu. Une méthode d'analyse des informations des messages syslog consiste à utiliser des « expressions régulières ». Les exemples que j'utilise devraient fonctionner dans la plupart des cas.

1. Pour extraire le nom d'utilisateur et adresse IP du message syslog , vous devez inclure une partie du message avant le nom d'utilisateur que vous souhaitez utiliser. Par exemple, « Nom d'utilisateur » apparaît juste avant le nom d'utilisateur, donc une expression régulière qui peut être utilisée est :

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. Pour extraire l'adresse IP, vous devez inclure une partie du message avant l' adresse IP que vous souhaitez utiliser. Dans l'entrée de message syslog ci-dessous, le « , IP » précède l' adresse IP. Une expression régulière qui peut donc être utilisée est :

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s