syslog 사용자 ID 매핑을 위한 정규 표현식을 만드는 방법

• PANOS-11.1.4-hx
• PA-5250
• IP 매핑을 위한 Syslog 서버

사용자 ID는 syslog 메시지를 사용하여 방화벽 의 사용자-IP 매핑을 채울 수 있습니다. syslog 메시지에서 정보를 구문 분석하는 한 가지 방법은 "정규 표현식"을 사용하는 것입니다. 내가 사용하는 예는 대부분의 경우 작동해야 합니다.

1. syslog 메시지에서 사용자명 과 IP 주소 추출하려면 사용하려는 사용자명 앞에 메시지의 일부를 포함해야 합니다. 예를 들어, "Username ("은 사용자명 바로 앞에 나타나므로 사용할 수 있는 정규 표현식은 다음과 같습니다.

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. IP를 추출하려면 사용하려는 IP 주소 앞에 메시지의 일부를 포함해야 합니다. 아래의 syslog 메시지 항목에서 ", IP "가 IP 주소 앞에 옵니다. 따라서 사용할 수 있는 정규 표현식은 다음과 같습니다.

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s