※この記事は以下の記事の日本語訳です。
How to Collect the User-IP Mappings from a Syslog Sender Using an User-ID Agent
訳注:本文書で紹介する機能はPAN-OS 6.0から対応しています。
PAN-OS 6.0より、Palo Alto NetworksファイアウォールとUser-IDエージェントを、ネットワーク上の様々なシステムからSyslogのログを収集するためのSyslogリスナーとして使用し、、またユーザーとIPアドレスを対応させることができるようになりました。ユーザーとIPアドレスの対応付けは、セキュリティ ルールとポリシーで使用できます。ファイアウォールのPAN-OSのバージョンとUser-IDエージェントのバージョンは、少なくとも6.0である必要があります。
注:ファイアウォールのPAN-OSのバージョンは、User-IDエージェントのバージョンと同じか、それ以降のバージョンである必要がありますが、同じバージョンである方が望ましいです。
この資料では、WindowsサーバーにインストールされたUser-IDエージェント上で、カスタムSyslog Senderを設定する方法を説明しています。Palo Alto Networksファイアウォール上での同様の設定については、こちらをご覧ください:How to Configure a Custom Syslog Sender and Test User Mappings.
ファイアウォールは、User-IDエージェント上で、定義済みのフィルターをSyslog Senderとして利用することができますが、管理者は、ネットワーク システムによって生成されるログに応じたフィルターを作成する必要があります。この設定に対する前提条件として、User-IDエージェントはファイアウォールに接続されており、ユーザーIPマッピングが接続したPalo Alto Networksデバイスに送付されている状況を想定します。
追加要件:
ログの分析:
ログの中を見て、ユーザー IPマッピングに必要なフィールドを見つけます。これらのフィールドは、次の要素を含む必要があります;ユーザー名、IPアドレス、区切り文字、イベントの文字列。イベントの文字列は、、特定のユーザーがログインに成功したこと、そしてそのユーザー名とIPアドレスを収集し、それらをユーザーIPマッピングのデータベースに追加する必要があることをファイアウォールに教えてくれます。
以下のSyslogの例は、Aruba Networks社製のWireless Controllerからのログを表示しています:
2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67
2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF
2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest
2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest
上記のログ (Syslogの出力) の分析から、フィールド識別子を使用して解析できることが分かります。
注: 「空白スペース」というのは、キーボードのスペースキーを押す、ということです。
設定:
著者:ialeksov