Palo Alto: User-ID Agent funktioniert trotz korrekter Einrichtung nicht, die Übersetzung Benutzer zu IP findet nicht statt
Der User-ID Agent braucht nach der Einrichtung Informationen vom Domaincontroller, welcher Benutzer sich wann angemeldet hatte, um daraus die Benutzer-IP-Zuordung zu erzeugen. Wenn alles korrekt eingerichtet ist, kann es trotzdem sein, dass der Domaincontroller diese Info in sein Eventlog nicht wegschreibt. Möglicherweise sind bestimmte Einstellungen in der Lokalen Sicherheitsrichtlinie auf dem DC nicht gesetzt. So sieht es am User-ID Agent aus: Beide Richtlinien müssten so konfiguriert werden, dass sie beim Erfolg einen Eintrag im Eventlog erzeugen. Auf Windows 2008 DCs: 4768(Authentication Ticket Granted) 4769(Service Ticket Granted) 4770(Ticket Granted Renewed) \Überwachungsrichtlinie\Anmedeereignisse überwachen \Überwachungsrichtlinie\Anmedeversuche überwachen Siehe auch: https://live.paloaltonetworks.com/docs/DOC-2801 Resolution Check the Local Security Policy for the Domain Controller or Domain Controllers to see if the proper auditing action is configured so …