Introducción
El tip
when CLIENT_ACCEPTED {
ACCESS::restrict_irule_events disable
}
when HTTP_REQUEST {
if { [HTTP::uri] starts_with "/myvpn?sess=" } {
after 5000 {
log local0.notice "User_Name=[ACCESS::session data get session.logon.last.username] Session_ID=[ACCESS::session data get session.user.sessionid] Assigned PPP Dynamic IPv4: [ACCESS::session data get session.assigned.clientip] NA Resource: [ACCESS::session data get session.assigned.resources.na] Client IP: [ACCESS::session data get session.user.clientip]"
}
}
}
Para integrarlo con el User-ID Agent Syslog de Palo Alto solo debemos modificar la irule de la siguiente manera:
when CLIENT_ACCEPTED {
ACCESS::restrict_irule_events disable
}
when HTTP_REQUEST {
if { [HTTP::uri] starts_with "/myvpn?sess=" } {
after 5000 {
log <IP_PALO_ALTO_SYSLOG>:<PORT_PALO_ALTO_SYSLOG> local0.notice "User_Name=[ACCESS::session data get session.logon.last.username] Session_ID=[ACCESS::session data get session.user.sessionid] Assigned PPP Dynamic IPv4: [ACCESS::session data get session.assigned.clientip] NA Resource: [ACCESS::session data get session.assigned.resources.na] Client IP: [ACCESS::session data get session.user.clientip]"
}
}
}
El mensaje en cuestión puede modificarse en la irule para hacer match con lo que este configurado en palo alto o vice versa.
Observaciones.
No hay comentarios.:
Publicar un comentario