syslogユーザー ID マッピングの正規表現を作成する方法

• パノス-11.1.4-hx
• PA-5250
• IPマッピング用のSyslogサーバー

User-ID は、 syslogメッセージを使用して、ファイアウォールのユーザーと IP のマッピングを設定できます。syslog メッセージからの情報を解析する 1 つの方法は、「正規表現」を使用することです。私が使用する例は、ほとんどの場合に機能するはずです。

1. syslogメッセージからユーザー名とIPアドレスを抽出するには、使用するユーザー名の前にメッセージの一部を含める必要があります。たとえば、「ユーザー名 (」はユーザー名の直前に表示されるため、使用できる正規表現の 1 つは次のとおりです。

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. IP を抽出するには、使用するIPアドレスの前にメッセージの一部を含める必要があります。以下のsyslogメッセージ エントリでは、「, IP」がIPアドレスの前にあります。したがって、使用できる正規表現の 1 つは次のとおりです。

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s