В нашем ProxySG на одном из последних уровней политики есть запись для регистрации определенных вещей.
Сама регистрация событий определяется как «EventLogTCP»:
$(client.host) $(user) $(client.protocol) $(log_url) $(log_url.port) $(log_url.path) $(exception.reason)
При срабатывании этого правила я иногда вижу такие совпадения в системном журнале:
Aug 12 16:19:41 192.168.x.y ProxySG: 3B0002 EventLogTCP nothing.attdns.com http tcp://ssl.google-analytics.com:443/ 443 / Either 'deny' or 'exception' was matched in policy(156265441) UNKNOWN_EVENT pe_policy_action_log_message.cpp 44
В client.host
вот что меня беспокоит:
nothing.attdns.com
равно 127.0.0.2
.
Что здесь означает этот адрес обратной связи?
(Если я посмотрю на ежедневные журналы, создаваемые прокси-сервером, там нет адресов обратной связи.)
Это ничего.attdns.com является проблемой разрешения имен и может быть вызвано отсутствием правильных зон обратного просмотра на DNS-сервере.
Добавление диапазонов IP-адресов для всех подсетей на DNS-сервер в качестве зон обратного просмотра должно решить проблему.