Rubriques Connexes
Afficher les Messages de Journaux
Une fonctionnalité importante d'une sécurité réseau consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner fréquemment ces enregistrements et à les conserver dans une archive pour vous y référer ultérieurement. Le système de message du journal WatchGuard créé des fichiers journaux à l'aide d'informations concernant des évènements liés à la sécurité que vous pouvez examiner pour analyser la sécurité et l'activité de votre réseau, identifier les risques de sécurité et y remédier.
Un fichier journal est une liste d'événements contenant des informations sur ces événements. Un événement est une activité qui se produit sur le périphérique Firebox. Le refus d'un paquet par le Firebox est un exemple d'événement. Votre Firebox peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l'activité sur votre réseau.
Sur Dimension, vous pouvez consulter les messages de journaux des Firebox, des clusters FireCluster et des serveurs WatchGuard connectés qui envoient des messages de journaux à votre serveur Dimension. Log Manager vous permet de voir les messages de journal sur votre Firebox pour la période que vous spécifiez si les messages de journal ont été générés dans la période sélectionnée.
Les message du journal sont envoyés à votre serveur Dimension en format XML (texte brut) et sont chiffrés pour transiter avec une connexion SSL (AES 256 bits). Les données ne sont pas chiffrées lorsqu'elles sont enregistrées dans la base de données des messages du journal du serveur Dimension.
Sur les onglets de la page Périphériques, l'ensemble des périphériques Firebox et des clusters FireCluster qui envoient des messages de journaux à votre serveur Dimension apparaissent. Sur la page Serveurs, l'ensemble des serveurs WatchGuard qui envoient les messages de journal à votre serveur Dimension apparaissent. Sur ces pages, vous pouvez sélectionner n'importe quel Firebox, FireCluster ou serveur pour voir les messages de journal y afférents, même si l'état Connecté est défini sur Non. Quand vous sélectionnez un Firebox, FireCluster ou serveur, la page des messages de journal apparaît avec un graphique de fréquence de consignation en haut de la liste des messages de journal, qui montre la plage des données consignées pour votre Firebox, FireCluster ou serveur. Ce graphique de fréquence de consignation est par défaut un graphique à barres ; vous pouvez toutefois modifier le paramètre pour voir les données sous forme d'un graphique en courbes. Vous pouvez sélectionner la période pour afficher les messages du journal. Vous pouvez aussi filtrer la liste des messages du journal par type et faire une recherche des messages du journal pour des données spécifiques.
Si vous changez le nom d'un FireCluster, pour consulter les messages de journal qui ont été générés par le FireCluster avant son changement de nom, vous devez sélectionner le FireCluster par le nom qui lui était attribué lorsque ces messages de journal ont été générés. Après avoir modifié le nom d'un FireCluster, vous devez sélectionner le FireCluster par son nouveau nom pour consulter les messages de journal qui ont été générés après le changement de nom.
Les informations disponibles dans la liste des messages dépendent du type de journal que vous choisissez.
| Bouton Type de Journal | Type de journal | Résultats détaillés |
|---|---|---|
|
Trafic | Disposition, Date-Heure, Source, Interface, Destination, Port, Interface, Protocole, Stratégie |
|
Alarme | Date-Heure, Nom de l'alarme, Message |
|
Événement | Date-Heure, Processus, Priorité, Message |
|
Diagnostic | Date-Heure, Processus, Message |
|
Statistiques | Date-Heure, Périphérique, Octets reçus, Octets envoyés |
|
Tout | Type, Date-Heure, Message détaillé |
Afficher les Messages de Journaux
- Pour afficher les messages de journaux de vos périphériques Firebox ou clusters FireCluster, sélectionnez Accueil > Périphériques.
La page Périphériques s'affiche, avec l'onglet Liste sélectionné.
Pour afficher les messages de journaux d'un groupe de périphériques Firebox, sélectionnez Accueil > Groupes.
Pour afficher les messages du journal pour un serveur WatchGuard, sélectionnez Accueil > Serveurs. - Sélectionnez le Nom d'un Firebox, cluster, groupe, ou serveur.
La page Outils > tableau de Bord Exécutif s'ouvre. - Dans les calendriers déroulants Début et Fin, sélectionnez la date de début et de fin des messages du journal.Astuce !Pour inclure toutes les données depuis la date de fin que vous sélectionnez, fixez l'heure de fin à 23h59.
- Dans la section JOURNAUX, sélectionnez Log Manager.
Les messages du journal pour le périphérique, cluster ou serveur sélectionnés apparaissent, les messages du journal du trafic s'affichant par défaut.
Exemple de la page Messages du Journal pour un Firebox.
- Pour filtrer les messages du journal pour un Firebox par un autre type de journal, cliquez sur le bouton d'un type de journal.
Cette option n'est pas proposée pour les serveurs. La liste des Messages du Journal change pour ne comprendre que les messages du type de journal sélectionné. - Pour voir un graphique en courbes des données des messages de journal, cliquez sur
.
Pour voir un graphique à barres des données des messages de journal, cliquez sur
.
Cela est le paramètre par défaut. - Pour faire un zoom avant sur une section du graphique de fréquence de consignation et consulter un jeu de données plus succinct, placez votre curseur sur le graphique, maintenez le bouton gauche de la souris enfoncé et faites glisser le curseur pour choisir une plage de temps.
La liste des messages de journal est mise à jour d'après votre nouvelle sélection et
apparaît sur le graphique de fréquence de consignation. - Pour faire un zoom arrière et revenir à la période initiale, cliquez sur .
- Pour plus de détails sur un message de journal dans la liste, cliquez sur ce message.
Une boîte de dialogue contenant des informations additionnelles sur le message de journal que vous avez choisi s'affiche.
- Pour copier le contenu du message, mettez en surbrillance son texte, cliquez avec le bouton droit et sélectionnez Copier, ou appuyez sur les touches Ctrl+C du clavier.
Rechercher des messages de journal
Vous pouvez utiliser la fonction Rechercher pour filtrer les messages de journaux qui apparaissent pour l'un de vos périphériques Firebox ou serveurs. Sur la page Messages du journal, vous pouvez effectuer une recherche simple pour filtrer les messages de la liste Messages du journal.
Pour plus d'informations sur la manière d'effectuer une recherche plus avancée des messages du journal de votre Firebox, voir Rechercher les messages de journal d'un périphérique. Les paramètres de recherche avancée ne sont pas disponibles pour les serveurs.
Effectuer une Recherche depuis la Page des Messages du Journal :
- Dans la zone de texte Rechercher, saisissez le texte à rechercher dans les messages du journal.
- Cliquez sur
.
Les messages de journal affichés sont mis à jour pour inclure uniquement les messages qui correspondent aux paramètres de recherche spécifiés.
Afficher une analyse par tranche horaire
Le graphique Analyse par Tranche Horaire est un graphique à secteurs qui affiche le nombre total de messages de journal, le taux moyen d'arrivée des messages (par minute ou par seconde), et le pourcentage de chaque type de message envoyé au serveur Dimension depuis un Firebox dans la période indiquée. L'analyse par tranche horaire n'est pas disponible pour les messages de journal de vos serveurs.
Pour consulter une Analyse par Tranche Horaire d'un Firebox :
- Dans la liste Périphériques, sélectionnez le Nom d'un Firebox.
La page des messages de journal du périphérique sélectionné apparaît, affichant uniquement les messages du journal Trafic. - Dans la liste Actions, sélectionnez Analyse par tranche horaire.
Le graphique Analyse par tranche horaire apparaît dans une nouvelle boîte de dialogue.
Exporter les messages de journal
Vous pouvez exporter les messages du journal pour tout périphérique ou serveur vers un fichier CSV. Quand vous exportez les messages de journal, un fichier CSV est créé avec les messages disponibles pour le périphérique sélectionné pour la période spécifiée. Le fichier CSV est automatiquement ajouté à un fichier ZIP. Le nom de fichier du fichier CSV inclus dans le fichier ZIP est la date et la période des messages du journal dans le fichier. Le fichier ZIP contient un fichier texte avec les paramètres de recherche. Le nom du fichier ZIP est le numéro de série du périphérique, ainsi que la date et la période des messages du journal. Si vous choisissez d'enregistrer le fichier ZIP quelque part sur votre ordinateur, vous pouvez spécifier n'importe quel nom de fichier.
- Dans la liste Périphériques, sélectionnez le Nom d'un périphérique.
La page des messages de journal du périphérique sélectionné s'affiche. - Dans la liste déroulante Actions, sélectionnez Exporter les journaux (.csv).
Une boîte de dialogue d'ouverture de fichier apparaît pour le fichier ZIP. - Choisissez d'ouvrir le fichier ZIP ou de l'enregistrer quelque part sur votre ordinateur.
- Cliquez sur OK.
- Si vous enregistrez le fichier, sélectionnez l'emplacement de votre choix.
- (En option) Tapez le nom du fichier ZIP.
- Cliquez sur Sauvegarder.
Le fichier ZIP est enregistré à l'emplacement spécifié sur votre ordinateur. - Accédez à l'emplacement où vous avez enregistré le fichier ZIP et ouvrez le fichier.
- Extrayez le fichier CSV.
Vous pouvez à présent ouvrir le fichier CSV et consulter les messages de journal, ou bien importer le fichier CSV vers un autre programme. Lorsque vous exportez des messages du journal vers un fichier CSV, le fuseau horaire qui apparaît dans le fichier est l'heure locale sur l'ordinateur du client, et non pas le temps universel coordonné.