※この記事は以下の記事の日本語訳です。
How to Collect the User-IP Mappings from a Syslog Sender Using an User-ID Agent
訳注:本文書で紹介する機能はPAN-OS 6.0から対応しています。
概要
PAN-OS 6.0より、Palo Alto NetworksファイアウォールとUser-IDエージェントを、ネットワーク上の様々なシステムからSyslogのログを収集するためのSyslogリスナーとして使用し、、またユーザーとIPアドレスを対応させることができるようになりました。ユーザーとIPアドレスの対応付けは、セキュリティ ルールとポリシーで使用できます。ファイアウォールのPAN-OSのバージョンとUser-IDエージェントのバージョンは、少なくとも6.0である必要があります。
注:ファイアウォールのPAN-OSのバージョンは、User-IDエージェントのバージョンと同じか、それ以降のバージョンである必要がありますが、同じバージョンである方が望ましいです。
この資料では、WindowsサーバーにインストールされたUser-IDエージェント上で、カスタムSyslog Senderを設定する方法を説明しています。Palo Alto Networksファイアウォール上での同様の設定については、こちらをご覧ください:How to Configure a Custom Syslog Sender and Test User Mappings.
ファイアウォールは、User-IDエージェント上で、定義済みのフィルターをSyslog Senderとして利用することができますが、管理者は、ネットワーク システムによって生成されるログに応じたフィルターを作成する必要があります。この設定に対する前提条件として、User-IDエージェントはファイアウォールに接続されており、ユーザーIPマッピングが接続したPalo Alto Networksデバイスに送付されている状況を想定します。
追加要件:
- Syslog Senderのログについての知識
- Syslog SenderのIPアドレスについての知識
- ログを受信するために使用することができるサーバー上の、利用可能なポートについての知識
- ユーザーが接続しているドメイン、ログイン時の"domain\"表記法の知識
- フィールド識別子、あるいは正規表現の識別子の用法に関する判断
手順
ログの分析:
ログの中を見て、ユーザー IPマッピングに必要なフィールドを見つけます。これらのフィールドは、次の要素を含む必要があります;ユーザー名、IPアドレス、区切り文字、イベントの文字列。イベントの文字列は、、特定のユーザーがログインに成功したこと、そしてそのユーザー名とIPアドレスを収集し、それらをユーザーIPマッピングのデータベースに追加する必要があることをファイアウォールに教えてくれます。
以下のSyslogの例は、Aruba Networks社製のWireless Controllerからのログを表示しています:
2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67
2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF
2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest
2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10> User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest
上記のログ (Syslogの出力) の分析から、フィールド識別子を使用して解析できることが分かります。
- イベントの文字列:"User Authentication Successful:"
- ユーザー名のプレフィックス:"username="
- ユーザー名の区切り文字:空白スペース
- アドレス プレフィックス:"IP="
- アドレスの区切り文字:空白スペース
注: 「空白スペース」というのは、キーボードのスペースキーを押す、ということです。
設定:
- Syslog解析プロファイルを定義します。これは、ファイアウォールのリスナーに送信されるSyslogのイベントのために使用されます。
- User-IDエージェントからSyslogタブを開きます:[ User Identification ] > [ Setup ] > [ Edit ] > [ Syslog ]
- 新しいSyslogのメッセージのために、待ち受けるポートを選択します。
- 新しいSyslog解析プロファイルを追加します。
- 適切なSyslog解析プロファイル名と、必要に応じて内容を入力します。
- 適切な解析タイプを選択します (今回の例では、フィールド識別子が設定されています)。
- 先の手順で実施の「ログの分析」に従い、詳細を入力します。
- Syslogサービスを有効にすることを忘れないでください
設定をすべて終えた後のSyslogフィルターは以下のように表示されます:
- モニタするサーバーのリストで、該当のサーバーを設定します:
- User-IDエージェントから、[ User Identification ] > [ Discovery ] > [ Server ] > [ Add ] にて、新しいサーバーを追加します。
- 名前とIPアドレスを入力し、サーバー タイプとしてSyslog Senderを選択します。
- 先の手順で定義したフィルターを選択します。
- 必要に応じて、デフォルト ドメイン名を入力します(これを入力した場合、このサーバー接続を使用して検出されたすべてのユーザーに対して、ドメイン フィールドが先頭に付与されます)。
- User-IDエージェントに対する変更を、コミットをクリックして反映します。
- サーバーが、定義されたポートで待ち受けていることを確認します (サーバー上のコマンドプロンプトで、"netstat"コマンドを使用します)。
- Server Senderからログを受信しているかどうか、またUser-IDエージェント上でマッピングが生成されているかどうかを確認します。
- ファイアウォール上で、User-IDエージェントからマッピングを受信できているかどうかを確認します。これらのマッピングのタイプは、User-IDエージェントから収集されてファイアウォールに渡されたものであるため、Usre-ID エージェントとなります。
著者:ialeksov
