Saturday, October 17. 2015
Hallo zusammen,
ich habe nun die erste ASA mit FirePower SourceFire am Start. Aber wie das so beim ersten mal ist - es geht nicht so wie es soll... Da habe ich mich mal hingesetzt wie man das "Debuggen" kann. Was habe ich hier am Start : ASA 5508 - mit integ. SFR Modul. v5.4.1.3 Windows 2008 & 2012 mit Cisco User Agend v2.3.10 Wie kann man nun erkennen, ob SFR Modul überhaupt Daten vom Agent bekommt und was das Modul in der Datenbank gespeichert hat. Am besten man loggt sich auf die "Console der ASA" ein (inkl. Enable) von da gehts weiter : (Hinweis - falls mal nicht direkt ein Output kommt - nochmal Enter drücken) 1. Auf zur SourceFire Console (und da einloggen) -> session sfr 2. Expert Modus starten -> expert 3. Tüte Rechte besorgen -> sudo su - (und danach das Passwort vom SFR Modul ohne User - bei mir Sourcefire) 4. Ins richtige Verzeichnis wechsel -> cd /var/sf/user_enforcement/ 5. Hier haben wir dann ein Perl Script was uns hilft Abfrage was das Script so tolles kann : perl user_map_query.pl -h Usage: user_map_query.pl [OPTIONS] [ITEMS]... Version: 1.0 This script will return current information about users, groups and IP addresses. This will only show user to IP address assoiciations to IP addresses that currently belong to a user. It does not show all IP addresses that the user was associated with in the past. You must provide one (and only one) of the following options: -g, -i, -u Examples: user_map_query.pl -u jsmith # displays the information for the user jsmith user_map_query.pl -i 10.1.2.3 # displays users associated to the IP address 10.1.2.3 user_map_query.pl -g myGroup # displays all users associated to group myGroup Options: -d, --debug enable debug logging (off by default) -g, --group Displays the users associated to the group(s) specified (can not be passed with -i or -u) -h, -?, --help Print usage information -i, --ip-addr Displays the users associated to the IPv4 address(es) specified (can not be passed with -g or u) -u, --user Displays the IP addresses associated to the user(s) specified (can not be passed with -g or -i) Hier ein Paar Beispiele wie die Outputs aussehen : Abfrage über IP : perl user_map_query.pl -i 192.168.100.183 Ausgabe : Getting information on IP Address(es)... 1) 192.168.100.183 Current User Info: User ID: 26 Username: xyxyx Last Seen: 10/16/2015 09:41:19 UTC Abfrage über den User : perl user_map_query.pl -u xyxyx Ausgabe : 1) xyxyx ID: 26 Last Seen: 10/16/2015 09:41:19 UTC Has Authoritative Login: 1 All Current IP Addresses: 1) ::ffff:192.168.100.73 2) ::ffff:192.168.100.183 ERROR: Could not find the user ID '26' in the user group map table! NOTICE: Unable to get the group info for user_id '26'! !! Hinweise - dieser User gehört zu keiner ADS/LDAP Gruppe - ansonsten würde hier die Gruppe stehen !! Mit Gruppe sieht das so aus : Groups: 1) INTERNET Abfrage über eine Gruppe : perl user_map_query.pl -g INTERNET Ausgabe : Getting information on Group(s)... 1) INTERNET ID: 1 Group Updated: 10/17/2015 12:00:02 UTC Users: 1) xxyyxx User ID: 12 Last Seen: 10/15/2015 14:57:24 UTC Has Authoritative Login: 1 Group Map Last Updated: 10/13/2015 09:25:29 UTC UTC 2) yyxxyy User ID: 14 Last Seen: 10/16/2015 18:45:52 UTC Has Authoritative Login: 1 Group Map Last Updated: 10/13/2015 09:25:29 UTC UTC usw.... Den Debug Schalter "-d" kann man benutzen - aber ich konnte keine nenneswerten "Mehr" - Infos finden. Ich will mal weiter suchen - da müsste doch noch mehr gehen - das ganz bassiert ja unter einer MySql Datenbank Viel Spass bei der Fehlersuche - wenn ihr einen Tollen Trick gefunden habt - einfach mal schreiben. |
Quicksearch Getaggte Artikel Kategorien Blog Administration |