如何为syslog用户 ID 映射创建正则表达式

• PANOS-11.1.4-hx
• PA-5250
• 用于 IP 映射的 Syslog 服务器

User-ID 可以使用syslog消息来填充防火墙的用户到 IP 映射。解析系统syslog消息中信息的一种方法是使用“正则表达式”。我使用的示例在大多数情况下应该有效。

1. 要从syslog消息中提取用户名和IP 地址，您需要在要使用的用户名之前包含部分消息。例如，“用户名 (”出现在用户名之前，因此可以使用的一个正则表达式是：

USERNAME EXAMPLE:
Username\s([A-Za-z0-9\.]+@paloalto\.com

2. 要提取 IP，您需要在要使用的IP 地址之前包含部分消息。在下面的syslog消息条目中，“,IP”位于IP 地址之前。因此，可以使用的一个正则表达式是：

IP ADDRESS EXAMPLE:
,\sIP\s([0-9.]+)

SYSLOG MESSAGE ENTRY:
Sep 20 17:57:46.307: %CLIENT_ORCH_LOG: Username (user1@paloalto.com), MAC: 50eb.7120.3730, IP 10.3.181.10 IP address updated, associated to AP (WIL-AP-332) with SSID (Alpha)

3. Other filters available for use includes the following:

Note: Please be sure to verify the logging format prior to configuring filters to avoid any mapping issues

USERNAME:
[A-Za-z0-9\.]+@paloalto\.com

FILTERS ONLY IPv4:
([0-9.]+)

FILTERS ONLY IPv6:
([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv4 FOLLOWED BY IPv6:
([0-9.]+)\s([A-F0-9a-f]+:[A-F0-9a-f:]+)

FILTERS IPv6 FOLLOWED BY IPv4:
([A-F0-9a-f]+:[A-F0-9a-f:]+)\s([0-9.]+)

FILTERS IPv4 AND IPv6 IN ANY ORDER:
([A-Fa-f0-9:.]+)\s([A-Fa-f0-9:.]+)

SPACE CHARACTER:
\s