Приветствую, уважаемый читатель!
Понадобилось связать публичный IP клиента OpenVPN и выданный ему серый IP. Запрос на SPL и пояснения ниже.
Допущения:
source=pfsense "peer connection Initiated" - отсюда тянем белый IP и TCP(UDP) порт
source="pfsense" "pool returned" - отсюда тянем серый IP и TCP(UDP) порт
Запрос на SPL:
source=pfsense "peer connection Initiated"
| fillnull value="-" OVPN_UserName
| where (OVPN_UserName != "-")
| eval h_time=substr(PFS_time,-8)
| join type=left OVPN_UserIP,OVPN_UserName,OVPN_UserPort [search source="pfsense" "pool returned"
| eval h_time=PR_htime
| eval OVPN_UserName=PR_UserName
| eval OVPN_UserIP=PR_OVPNIP
| eval OVPN_UserPort=PR_OVPNPORT
| table OVPN_UserName,OVPN_UserIP,PR_GREYIP]
| table h_time,OVPN_UserName,OVPN_UserPort,OVPN_UserIP,PR_GREYIP,Result
Настоятельно рекомендую связывать события по IP, порту и имени пользователя, т.к. время часто отстает на 1-2 секунды и события теряются. Всем удачи :)
Комментариев нет:
Отправить комментарий