3.5 KiB
【M22项目】一个数据流同时命中allow、deny、monitor策略,导致packet capture file展示出现bug
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OMPUB-1479 | 2024-09-25T18:51:14.000+0800 | 刘洋 | 已关闭 |
经排查,客户于2024-09-25 11:00左右生效了一个monitor策略,策略详情如图,该策略开启了packet capture,monitor策略日志正常显示packet capture file
!image-2024-09-25-17-10-09-940.png|width=482,height=239!
!image-2024-09-25-17-16-52-792.png|width=482,height=239!
问题1:该monitor策略的条件同时命中了deny策略,deny策略未开启packet capture功能,但是deny策略日志显示packet capture file
!image-2024-09-25-17-18-56-484.png|width=478,height=237!
!image-2024-09-25-17-17-57-388.png|width=479,height=238!
问题2:该monitor策略的条件同时命中了allow策略,allow策略没有packet capture功能,但是allow策略日志显示packet capture file
!image-2024-09-25-17-20-43-646.png|width=475,height=236!
!image-2024-09-25-17-20-05-584.png|width=475,height=236!
liuyang commented on 2024-09-26T16:14:04.794+0800:
问题原因:
- 一个流量会话功能端产生一条日志(session record),里面包含session record和event logs的所有信息。当会话同时命中allow和monitor,或者deny和monitor,该会话的日志信息中同时记录security rule list,monitor rule list和对应捕获的packet capture。
- 安全事件日志是过滤session recored中security rule list不为空的日志,所以也就同步展示了该日志中记录的packet capture file
doufenghu commented on 2024-09-26T19:18:30.324+0800:
- pcap_capture_file 属于会话日志的属性,任意一个策略开启pcap capture功能,当命中多个或多种类型策略时,都显示下载pcap文件标识。建议pcap头增加策略命中信息。
- 目前遗留问题:截止当地时间17:40分,会话日志中还标注了已删除的监测策略ID(3705, 3707, 3709等)并且字段pcap_capture_file有文件名称,并还有file chunk 写入 需功能端排查下。
chengsiyuan commented on 2024-09-26T19:35:10.813+0800:
monitor策略3709已经被客户删除,但是还在持续产生日志
目前现场monitor策略截图(无3709)
!image-2024-09-26-18-03-12-601.png|width=806,height=400!
!image-2024-09-26-18-02-29-841.png|width=804,height=399!
chengsiyuan commented on 2024-09-27T11:30:36.176+0800:
经排查: ID:3709 删除时间:2024-09-25 17:39:00 ID:3705 删除时间:2024-09-25 17:39:00 ID:3707 删除时间:2024-09-25 10:59:50 ID:2743 删除时间:2024-09-26 10:42:50 通过monitor策略按照start time查询,在2024-09-26 10:42:51.632之后就没有新的monitor日志产生,目前看的新收到的monitor日志,都是start time在策略删除前,流维持的时间比较长导致
!image-2024-09-27-10-00-23-862.png|width=627,height=311!
!image-2024-09-27-10-00-33-848.png|width=624,height=310!
Attachments
63317/image-2024-09-25-17-10-09-940.png
63316/image-2024-09-25-17-16-52-792.png
63315/image-2024-09-25-17-17-57-388.png
63314/image-2024-09-25-17-18-56-484.png
63313/image-2024-09-25-17-20-05-584.png
63312/image-2024-09-25-17-20-43-646.png
63356/image-2024-09-26-18-02-29-841.png
63357/image-2024-09-26-18-03-12-601.png
63367/image-2024-09-27-10-00-23-862.png
63368/image-2024-09-27-10-00-33-848.png