カスタムSyslogセンダーの設定と、ユーザー マッピングの試験方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure a Custom Syslog Sender and Test User Mappings
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Custom-Syslog-Sender-...

 

PAN-OS 6.0, 6.1

 

概要

PAN-OS 6.0からパロアルトネットワークス・ファイアウォールをSyslogリスナーとして使うことができ、違うネットワーク エレメントや、ユーザーとIPアドレスをマッピングさせてSyslogを収集することができます。それらはセキュリティ ルールやポリシーで使われます。この機能を有効にすると、Syslogリスナーは自動的に設定され、UDPを選択した場合は、ポート番号514を、SSL暗号化を選択した場合は、ポート番号6514が使われます。

このオプションはファイアウォールに限定されたものではなく、Windowsサーバ上にインストールされたUser-IDエージェントでも設定できます。Windowsエージェントでは、SSLは使われず、UDP/TCPともにポート番号514が使われます。

 

この文章では、どのようにしてパロアルトネットワークス・ファイアウォールでカスタム フィルターを設定するのか説明します。

注 : アプリケーション コンテンツ バージョン418より、パロアルトネットワークスは事前設定されたSyslogセンダーのリストを含みます。アプリケーションのアップデートは、WebUI (Device > Dynamic Updates)からダウンロード、インストールができます。

 

要求要件 :

  • Syslogセンダー・ログ
  • 送信者のIPアドレス
  • ログの送付方法(暗号化されているか、暗号化されないか)
  • ユーザーがアクセスしているドメインとログインした時に使われている“domain\”表記方法
  • フィールドもしくはRegex 識別子を使用するのかの決定

 

この文章では、ファイアウォールに直接設定する方法について記述しています。しかしながら、User-IDエージェントに設定を実行する場合も手順は同様です。

 

ステップ

ログの解析

一部のログを取得し、User-IPマッピングに必要なフィールドを決定します。常に必要なのは、ユーザ名、IPアドレス、フィールドに必要な区切り文字(デリミター)そしてイベント・ストリングです。イベント・ストリングはファイアウォールにユーザがログインに成功して、ユーザ名、IPアドレスが収集され、User-IPマッピング・データベースに登録されたことを通知します。

 

以下のSyslogサンプルは、アルーバ・ワイヤレス・コントローラーからのログ出力例です。

2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67

2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF

2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest

2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest

 

上記のSyslogサンプルを参照すると、構文解析には、フィールド識別子使われているのが解ります。

  • イベント・ストリングには “User Authentication Successful:”フレーズを探します。
  • ユーザ名の接頭語は“username=”です
  • ユーザ名の区切り文字は “\s”です
  • アドレスの接頭語は “IP=”です
  • アドレスの区切り文字は“\s”です

 

: Syslog中の区切り文字が空白の場合によくある間違えが、区切り文字フィールドとして空白や “ ”が使われることです。これは正しくなく、例えRegex識別子が使われていなくとも'\s'が正しい区切り文字としての空白スペースの表記方法です。しかしながら、User-IDエージェントで同様の設定した場合、空白スペースを区切り文字として使う必要があります。なぜなら、'\s'はデバッグ ログで認識されず、エラーとなるからです。

 

設定

  1. ファイアウォールをリスナーとした際に、送られてくるSyslogに使われるSyslog解析プロファイルを定義します。
    1. Device > User Identification > User Mappingに移動します。
    2. "Palo Alto Networks User ID Agent Setup"セクションで編集を選択します。
    3. Syslog Filterタブに移動し、新しいSyslog解析プロファイル追加を選びます。
    4. ログの複雑度からプロファイル・タイプを選択します(Regex識別子かフィールド識別子)。
    5. フィールドの値を上記の解析結果から入力します。
      Screen Shot 2014-02-10 at 1.26.16 AM.png
  2. サーバー・モニターを設定します。
    1. Device > User Identification > User Mappingに移動します。
    2. Server Monitoringセクションで、新しいServer Monitorを追加します。
    3. Syslogセンダーのタイプを選択します。
    4. Syslogセンダーの適切なConnection Type、Filter(この設定例では、前のステップで設定したものを選択しています)、Default Domain Nameなどの設定を選んで)を選択します。
      注:  Default Domain Nameが使われた場合、入力されたドメイン名がこのサーバー・コネクション経由で発見されたユーザーすべてに付与されます。
      Screen Shot 2014-02-10 at 1.27.55 AM.png
  3. 全ての設定が完了したら、コネクションを確立するための特定のインターフェイスを許可します。
    1. Network > Network Profiles > Interface Mgmtに移動
    2. 接続タイプによって、User-ID-Syslog-Listener-UDPかUser-ID-Syslog-Listener-SSLのコネクション・タイプを選択します。
      Screen Shot 2014-02-10 at 1.35.02 AM.png
    3. ManagementプロファイルをEthernetインターフェイスのAdvancedタブで選択します。
  4. 接続試験を実施して、サーバーから生成されたログを解析確認してください。
  5. 送付されてきているサーバーから受信されているか確認してください。そしてファイアウォール上でマッピングが生成されているか確認してください。
    サンプル例 :

> show user server-monitor state all

UDP Syslog Listener Service is enabled

SSL Syslog Listener Service is disabled

 

Proxy: ilija-syslog(vsys: vsys1)   Host: ilija-syslog(10.193.17.29)

number of log messages                            : 1

number of auth. success messages                  : 1

 

> show user ip-user-mapping all type SYSLOG

IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)

--------------- ------ ------- -------------------------------- -------------- -------------

10.200.40.201   vsys1  SYSLOG  al.com\1109853ab111008 2696      2696        

Total: 1 users

 

著者 :  ialeksov