Rubriques Connexes
À propos de la journalisation, des fichiers journaux et de la notification
Une fonctionnalité importante d'une sécurité réseau consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner fréquemment ces enregistrements et à les conserver dans une archive pour vous y référer ultérieurement. Le système de message du journal WatchGuard créé des fichiers journaux à l'aide d'informations concernant des évènements liés à la sécurité que vous pouvez examiner pour analyser la sécurité et l'activité de votre réseau, identifier les risques de sécurité et y remédier.
Un fichier journal est une liste d'événements contenant des informations sur ces événements. Un événement est une activité qui se produit sur le périphérique Firebox. Le refus d'un paquet par le Firebox est un exemple d'événement. Votre Firebox peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l'activité sur votre réseau.
Pour consulter les messages de journal générés par votre périphérique Firebox et les serveurs WatchGuard, vous pouvez utiliser Traffic Monitor, Log Manager ou Dimension. Pour plus d'informations, consultez les sections suivantes.
Le système de messages de journal WatchGuard se compose d'éléments multiples, qui sont décrits dans les sections suivantes.
À propos des messages de journal
Vos Firebox et serveurs WatchGuard peuvent envoyer des messages de journal à votre Log Server WSM ou à WatchGuard Dimension. Les périphériques Firebox peuvent également envoyer les messages de journal vers un serveur syslog ou les conserver localement sur le Firebox. Vous pouvez choisir d'envoyer les messages de journal à l'un des emplacements ou aux deux.
Vous pouvez utiliser Firebox System Manager pour consulter les messages de journal sous l'onglet Traffic Monitor. Vous pouvez également examiner les messages de journal à l'aide de Log Manager ou WatchGuard Dimension. Les messages de journal sont conservés sur le Log Server WSM dans le répertoire WatchGuard dans un fichier de base de données SQL dont l'extension est .wgl.xml.
Pour obtenir plus d'informations sur Traffic Monitor et Log Manager, consultez Traffic Monitor et Log Manager et Report Manager .
Pour plus d'informations sur Dimension, consultez Configurer et Administrer Dimension.
Pour en savoir plus sur les différents types de messages de journal envoyés par le périphérique Firebox, consultez Types de messages de journal.
Pour de plus amples informations sur la configuration de votre Firebox pour l'envoi des messages du journal, consultez les rubriques suivantes :
- Définir les préférences de journalisation et de notification
- Configurer les Paramètres de Journalisation et les Statitisques de Performance (Web UI)
- Envoyer les Messages de Journaux vers un Serveur WatchGuard Log Server (Web UI)
- Définir Où le Firebox Envoie les Messages de Journal (WSM)
- Configurer la Journalisation et la Notification pour une Stratégie (Web UI) (Web UI)
- Configurer la Journalisation et la Notification pour une Stratégie (Policy Manager) (WSM)
Pour de plus amples informations à propos de certains messages de journal générés par votre Firebox, consultez le Catalogue des Journaux Fireware.
Serveurs Log Server
Il existe deux méthodes pour sauvegarder des fichiers journaux avec Fireware Web UI :
WatchGuard Log Server
Vous pouvez utiliser le Log Server de WatchGuard System Manager (WSM) ou WatchGuard Dimension. Si vous avez un Firebox, vous pouvez configurer un Log Server pour collecter les messages de journal pour votre Firebox.
Syslog
Il s'agit d'une interface de journalisation développée pour UNIX, mais également utilisée sur de nombreux autres systèmes. Si vous utilisez un hôte syslog, vous pouvez configurer votre périphérique Firebox afin qu'il envoie les messages de journal à votre serveur syslog. Pour trouver un serveur syslog compatible avec votre système d'exploitation, recherchez sur Internet le terme démon syslog.
Si votre Firebox est configuré pour envoyer ses fichiers journaux à un Log Server WSM ou à Dimension et que la connexion échoue, les fichiers journaux ne sont pas collectés. Afin d'empêcher la perte de fichiers journaux, vous pouvez configurer votre Firebox pour qu'il envoie également des messages de journal à un hôte syslog qui se trouve sur le réseau approuvé local.
Pour plus d'informations sur la manière d'envoyer des messages de journal à un serveur WatchGuard Log Server, consultez Envoyer les Messages de Journaux vers un Serveur WatchGuard Log Server (Web UI).
Pour plus d'informations sur WatchGuard Dimension, consultez Configurer et Administrer Dimension.
Pour plus d'informations sur la manière d'envoyer des messages de journal à un hôte syslog, consultez Configurer les Paramètres de Serveur Syslog.
Les serveurs WatchGuard Log Server collectent des données de messages de journal auprès de chaque Firebox ou serveur WatchGuard connecté. Les serveurs Log Server reçoivent des informations sur les ports TCP 4107 et 4115. Chaque Firebox qui se connecte au Log Server envoie d'abord son nom, son numéro de série, son fuseau horaire et sa version du logiciel, puis envoie les données de journal lorsque de nouveaux événements se produisent. Les périphériques Firebox envoient des messages de journal de trafic, d'alarme, d'événement, de débogage et de statistiques de performances. Le numéro de série (SN) du Firebox est utilisé pour identifier le Firebox de manière unique dans la base de données du Log Server. Bien que les messages de journal envoyés à Log Server puissent venir de nombreux fuseaux horaires différents, Log Server stocke tous ces message au format UTC. Le serveur Log Server utilise de multiples instances de la base de données PostgreSQL pour gérer sa base de données globale. Chaque instance de la base de données PostgreSQL s'affiche dans le Gestionnaire des tâches de Windows en tant que processus PostgreSQL séparé.
Le serveur Log Server utilise plusieurs processus et modules pour collecter et enregistrer des données de messages du journal. wlcollector.exe est le processus de collecte de journal. Votre Firebox se connecte à ce processus pour la journalisation sur le port TCP 4115 ou 4107. wlcollector.exe exécute deux modules : ap_collector et ap_notify. ap_collector collecte les journaux auprès du Firebox et les stocke dans la base de données du Log Server. ap_notify collecte les alarmes auprès du Firebox et envoie le type de notifications que vous avez choisi.
Les messages de journal sont envoyés au serveur WatchGuard Log Server au format XML (texte brut) et sont chiffrés lors de leur transfert avec une connexion SSL (AES 256 bits). Les données des journaux ne sont pas chiffrées lorsqu'elles sont enregistrées dans la base de données du serveur Log Server.
Vous pouvez installer WatchGuard Log Server sur votre station de gestion ou sur un autre ordinateur. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de sauvegarde et d'évolutivité. Pour cela, utilisez le programme d'installation de WatchGuard System Manager (WSM) et choisissez d'installer uniquement le composant Log Server.
Une fois que Log Server a collecté les données de journal provenant de vos périphériques Firebox, vous pouvez utiliser WatchGuard Report Server pour consolider périodiquement les données et générer des rapports. Lorsque le Report Server obtient des données à partir du Log Server, ces données de messages de journal sont envoyées via une connexion SSL chiffrée (AES 256 bits).
Pour obtenir plus d'informations à propos de Report Server, consultez À propos de Report Server.
Journalisation et notification dans les applications et sur les serveurs
Le serveur Log Server peut recevoir des messages de journal d'un Firebox ou d'un serveur WatchGuard. Une fois que vous avez configuré votre Firebox et Log Server, le Firebox envoie les messages de journal vers le Log Server. Vous pouvez activer la journalisation dans les différentes applications et stratégies WSM que vous avez définies pour votre Firebox afin de contrôler le niveau de journalisation que vous voyez. Si vous choisissez d'envoyer les messages du journal à partir d'un autre serveur WatchGuard vers le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur.
Pour obtenir plus d'informations sur l'envoi de messages de journal à partir de votre Firebox, consultez Configurer la Journalisation et la Notification pour une Stratégie (Policy Manager).
Pour obtenir plus d'informations sur l'envoi de messages de journal à partir de votre serveur WatchGuard Log Server, consultez Configurer les paramètres de journalisation de Log Server.
Fichiers journaux
Le serveur WatchGuard Log Server utilise les fichiers wlcollector.log et ap_collector.log pour stocker des informations relatives aux connexions au Firebox et aux bases de données. Ces informations comprennent les erreurs d'authentification, les non-correspondances entre stimulation et réponse, ainsi que les erreurs d'accès à la base de données.
Ces fichiers sont stockés par défaut dans :
- Window 8 et Windows 7 — C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
- Windows XP — C:\Documents and Settings\WatchGuard\logs\wlogserver\wlcollector\
Bases de données
Les informations de journal sont stockées dans une base de données PostgreSQL. Chaque serveur Log Server dispose de quatre tables principales de bases de données qui stockent les messages de journal de tous les périphériques Firebox. Log Server crée des partitions de taille fixe pour enregistrer les informations de journal dans ces bases de données. Pour modifier manuellement le contenu de la base de données Log Server, vous pouvez utiliser l'invite de commande ou une application tierce comme pgadmin.
Lorsqu'un Firebox se connecte au Log Server pour la première fois, le Log Server met à jour la base de données globale à l'aide d'informations relatives au nouveau Firebox. Les messages de journal de chaque Firebox sont envoyés à l'une des quatre tables de bases de données du Log Server. Les données de ces tableaux sont utilisées quand vous consultez des fichiers journaux ou que vous créez un rapport dans WatchGuard WebCenter.
Les rapports générés par un serveur WatchGuard Report Server sont stockés en tant que fichiers XML dans le répertoire suivant :
Windows 10, 8 et 7 — C:\ProgramData\WatchGuard\wrserver\reports\
Performances et espace disque
Vous pouvez configurer plusieurs périphériques Firebox pour qu'ils envoient leurs informations de journal à un Log Server unique. Ce nombre n'est strictement limité que par l'espace disque disponible. Cependant, le nombre exact de périphériques Firebox que vous pouvez connecter à votre Log Server dépend de la taille et de la vitesse de ses disques durs, de la quantité de mémoire vive disponible, du nombre de processeurs et de la quantité de trafic de journal envoyée à Log Server par chaque Firebox connecté. Vous pouvez sensiblement améliorer les performances de Log Server en ajoutant un disque dur plus rapide, davantage de mémoire ou un autre processeur.
Le serveur Log Server contient un paramètre que vous pouvez changer pour supprimer automatiquement les anciens messages du journal de la base de données. Lorsque vous configurez un serveur Log Server pour la première fois, nous vous recommandons de mesurer la quantité d'espace disque utilisée quotidiennement. Estimez la durée en nombre de jours au cours de laquelle vous pouvez conserver des messages du journal avant que la base de données ne prenne trop d'espace disque, puis modifiez les paramètres pour qu'ils correspondent à l'intervalle temporel. Lorsque des messages du journal sont supprimés de la base de données, l'espace disque est réutilisé lorsque de nouvelles entrées de journal sont créées.
L'utilitaire reindexdb reconstruit les index dans une ou plusieurs tables PostgreSQL pour de meilleures performances. Il est recommandé de n'exécuter cet utilitaire que si vous y êtes invité par un représentant du support technique WatchGuard.
Log Manager et Report Manager
Vous pouvez utiliser les pages Log Manager et Report Manager de l'interface utilisateur interactive Web du WatchGuard WebCenter pour afficher les détails de vos fichiers journaux, consulter les rapports générés depuis vos périphériques Firebox et serveurs WatchGuard et générer des rapports à la demande. Quand vous ouvrez un rapport, vous pouvez focaliser sur les données d'un quelconque rapport pour voir les détails granulaires inclus dans le rapport. Chaque rapport comprend des liens vers des détails de rapports connexes.
Pour plus d'informations, voir Afficher les Messages du Journal & les Rapports dans WebCenter, Afficher les messages de journal des périphériques, et Afficher les Rapports dans Report Manager.
Traffic Monitor
Dans l'onglet Traffic Monitor de Firebox System Manager (FSM), vous voyez les messages de journal de votre Firebox à mesure qu'ils sont créés. Sur certains réseaux, il peut y avoir un court délai correspondant à l'envoi des messages des journaux. Cet utilitaire vous aide à résoudre les problèmes de performances réseau. Vous pouvez par exemple y observer les stratégies les plus couramment utilisées, ou si les interfaces externes sont constamment utilisées au maximum de leur capacité.
Pour plus d'informations, voir Messages de journal du périphérique (Moniteur du trafic).
État du système Traffic Monitor
Sur la page Traffic Monitor de la Web UI de Fireware, vous voyez les messages de journal de votre Firebox à mesure qu'ils sont créés. Sur certains réseaux, il peut y avoir un court délai correspondant à l'envoi des messages des journaux. Cet utilitaire vous aide à résoudre les problèmes de performances réseau. Vous pouvez par exemple y observer les stratégies les plus couramment utilisées, ou si les interfaces externes sont constamment utilisées au maximum de leur capacité.
Pour plus d'informations, voir Traffic Monitor.
Voir aussi
Démarrage rapide — Paramétrer la Journalisation pour Votre Réseau
Afficher les Messages du Journal & les Rapports dans WebCenter