User-IDエージェントを使用したSyslog SenderからユーザーIPマッピングを収集する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Collect the User-IP Mappings from a Syslog Sender Using an User-ID Agent

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Collect-the-User-IP-Mappings-from...

 

 

訳注:本文書で紹介する機能はPAN-OS 6.0から対応しています。

 

概要

PAN-OS 6.0より、Palo Alto NetworksファイアウォールとUser-IDエージェントを、ネットワーク上の様々なシステムからSyslogのログを収集するためのSyslogリスナーとして使用し、、またユーザーとIPアドレスを対応させることができるようになりました。ユーザーとIPアドレスの対応付けは、セキュリティ ルールとポリシーで使用できます。ファイアウォールのPAN-OSのバージョンとUser-IDエージェントのバージョンは、少なくとも6.0である必要があります。

注:ファイアウォールのPAN-OSのバージョンは、User-IDエージェントのバージョンと同じか、それ以降のバージョンである必要がありますが、同じバージョンである方が望ましいです。

 

この資料では、WindowsサーバーにインストールされたUser-IDエージェント上で、カスタムSyslog Senderを設定する方法を説明しています。Palo Alto Networksファイアウォール上での同様の設定については、こちらをご覧ください:How to Configure a Custom Syslog Sender and Test User Mappings.

 

ファイアウォールは、User-IDエージェント上で、定義済みのフィルターをSyslog Senderとして利用することができますが、管理者は、ネットワーク システムによって生成されるログに応じたフィルターを作成する必要があります。この設定に対する前提条件として、User-IDエージェントはファイアウォールに接続されており、ユーザーIPマッピングが接続したPalo Alto Networksデバイスに送付されている状況を想定します。

 

追加要件:

  • Syslog Senderのログについての知識
  • Syslog SenderのIPアドレスについての知識
  • ログを受信するために使用することができるサーバー上の、利用可能なポートについての知識
  • ユーザーが接続しているドメイン、ログイン時の"domain\"表記法の知識
  • フィールド識別子、あるいは正規表現の識別子の用法に関する判断

 

手順

ログの分析:

ログの中を見て、ユーザー IPマッピングに必要なフィールドを見つけます。これらのフィールドは、次の要素を含む必要があります;ユーザー名、IPアドレス、区切り文字、イベントの文字列。イベントの文字列は、、特定のユーザーがログインに成功したこと、そしてそのユーザー名とIPアドレスを収集し、それらをユーザーIPマッピングのデータベースに追加する必要があることをファイアウォールに教えてくれます。

 

以下のSyslogの例は、Aruba Networks社製のWireless Controllerからのログを表示しています:

2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67

2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF

2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest

2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest

 

上記のログ (Syslogの出力) の分析から、フィールド識別子を使用して解析できることが分かります。

  • イベントの文字列:"User Authentication Successful:"
  • ユーザー名のプレフィックス:"username="
  • ユーザー名の区切り文字:空白スペース
  • アドレス プレフィックス:"IP="
  • アドレスの区切り文字:空白スペース

 

注: 「空白スペース」というのは、キーボードのスペースキーを押す、ということです。

 

設定:

  1. Syslog解析プロファイルを定義します。これは、ファイアウォールのリスナーに送信されるSyslogのイベントのために使用されます。
    1. User-IDエージェントからSyslogタブを開きます:[ User Identification ] > [ Setup ] > [ Edit ] > [ Syslog ]
    2. 新しいSyslogのメッセージのために、待ち受けるポートを選択します。
    3. 新しいSyslog解析プロファイルを追加します。
    4. 適切なSyslog解析プロファイル名と、必要に応じて内容を入力します。
    5. 適切な解析タイプを選択します (今回の例では、フィールド識別子が設定されています)。
    6. 先の手順で実施の「ログの分析」に従い、詳細を入力します。
    7. Syslogサービスを有効にすることを忘れないでください
      Screen Shot 2014-02-11 at 3.32.21 PM.png
      設定をすべて終えた後のSyslogフィルターは以下のように表示されます:
      Screen Shot 2014-03-01 at 10.58.32 PM.png
  2. モニタするサーバーのリストで、該当のサーバーを設定します:
    1. User-IDエージェントから、[ User Identification ] > [ Discovery ] > [ Server ] > [ Add ] にて、新しいサーバーを追加します。
    2. 名前とIPアドレスを入力し、サーバー タイプとしてSyslog Senderを選択します。
    3. 先の手順で定義したフィルターを選択します。
    4. 必要に応じて、デフォルト ドメイン名を入力します(これを入力した場合、このサーバー接続を使用して検出されたすべてのユーザーに対して、ドメイン フィールドが先頭に付与されます)。
      Screen Shot 2014-02-11 at 3.32.51 PM.png
  3. User-IDエージェントに対する変更を、コミットをクリックして反映します。
  4. サーバーが、定義されたポートで待ち受けていることを確認します (サーバー上のコマンドプロンプトで、"netstat"コマンドを使用します)。
  5. Server Senderからログを受信しているかどうか、またUser-IDエージェント上でマッピングが生成されているかどうかを確認します。
    Screen Shot 2014-02-11 at 3.30.08 PM.png
  6. ファイアウォール上で、User-IDエージェントからマッピングを受信できているかどうかを確認します。これらのマッピングのタイプは、User-IDエージェントから収集されてファイアウォールに渡されたものであるため、Usre-ID エージェントとなります。
    Screen Shot 2014-03-04 at 9.55.35 AM.png

 

著者:ialeksov