※この記事は以下の記事の日本語訳です。
Session Tracker Feature
https://live.paloaltonetworks.com/t5/Learning-Articles/Session-Tracker-Feature/ta-p/61790
PAN-OS 6.0, 6.1
詳細
PAN-OS 6.0 において、"show session id" コマンドでのセッション終了理由の追跡機能が追加されました。セッションの終了理由が、"show session id <ID番号>" 結果の下部にある "tracker stage firewall" 部分に出力されます。
セッションはパケットの処理の様々なフェーズでクローズされる可能性があります。例えば、以下のようなケースがあります。
セッション追跡の目的は、特定のセッション上で取られたアクションに対して、より明確な理由を確認することにあります。表示された情報によって、セッション切断について過去に遡って分析することが出来ます。また多くの場合事象を再現させることは難しいですが、この機能によって事象再現に要する時間を削減することが出来ます。
以下のような複数のステータスが用意されています。
以下は "show session id" コマンドのセッション終了理由の例です。
> show session id 4632
Session 4632
c2s flow:
source: 192.168.210.103 [trust]
dst: 198.172.88.58
proto: 6
sport: 4475 dport: 80
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: wt-VPNTest 1
s2c flow:
source: 198.172.88.58 [VPN]
dst: 192.168.210.103
proto: 6
sport: 80 dport: 4475
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Mon Sep 9 16:39:06 2013
timeout : 30 sec
total byte count(c2s) : 1063
total byte count(s2c) : 1461
layer7 packet count(c2s) : 12
layer7 packet count(s2c) : 10
[…..]
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : True
captive portal session : False
ingress interface : ethernet1/6
egress interface : tunnel.179
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
以下のコマンドは、"tracker stage" が有効なセッション一覧を出力させるコマンドです。
> show log traffic direction equal backward show-tracker equal yes
Time App From Src Port Source
Rule Action To Dst Port Destination
Src User Dst User Session Info
==================================================
2013/09/09 16:44:01 flash trust 4433 192.168.210.103
TCP-logging allow VPN 80 74.125.239.124
2013/09/09 16:44:00 incomplete untrust 52405 10.30.6.210
allow-any allow untrust 135 10.30.14.212
2013/09/09 16:40:25 ms-update trust 4402 192.168.210.103
TCP-logging allow VPN 80 96.17.148.40
著者: djoksimovic