PaloAlto Firewall User Agent servisi, tüm trafiği kullanmış olduğumuz Sophos Antivirüs yazılımımızın hesap bilgisini kullanarak loglamaya başlamıştı. Active Directory audit loglarını incelediğimde herşey normaldi.
Fakat kullanıcının loglarına firewall tarafından baktığımda durum farklıydı.
Denetimin gerçekleştiği agent servisinde de doğal olarak kayıtlar hatalı gözükmekteydi.
Çözüm olarak Palo Alto ve Sophos KB lerine baktığımda benim duruma uyan çok fazla bir içerik bulamadım. Bundan dolayı her iki ürün için ayrı ayrı destek talebinde bulundum.
Hakkını vermek isterimki Sophos 30 dakika içerisinde sorunun kendilerinde olduklarını düşünmediklerini fakat çağrıyı bir üst seviyeye yükselttiklerini bildirdi. Palo alto tarafında ise Prolink ‘ten bir iş günü içerisinde dönüş gerçekleştirildi ve çözüm için ilgili kullanıcı kayıtlarını konfig dosyası üzerinden exclude ettiler. Her iki firmayada hızlı desteklerinden dolayı teşekkür ederiz.
Çözüm için, PaloAlto agentının bulunmuş olduğu dizine ignore_user_list.txt dosyası oluşuturuyoruz ve içerisine ilgili kullanıcı adlarını giriyoruz. Sonrasında herşey olması gibi 🙂
Ersin Can 