Définir Où le Firebox Envoie les Messages de Journal (WSM)

Dans Policy Manager, vous pouvez configurer votre Firebox pour générer des messages de journal pour les événements qui s'y produisent. Vous pouvez ensuite examiner les fichiers journaux et prendre des décisions concernant l'amélioration de la sécurité sur votre réseau. Vous devez préciser l'emplacement où le périphérique Firebox envoie les messages de journal. Sélectionnez l'envoi de messages de journal vers Dimension, un Log Server WSM, un serveur syslog ou sauvegardez-les sur le périphérique.

Après avoir configuré la destination des messages de journal, vous activez la journalisation dans les stratégies et fonctionnalités configurées sur votre Firebox.

Pour plus d'informations, voir Configurer la Journalisation et la Notification pour une Stratégie (Policy Manager) et Définir les préférences de journalisation et de notification.

Les paramètres de journalisation que vous spécifiez sur votre Firebox peuvent nuire à ses performances, vous devez donc n'activer la journalisation que là où elle est nécessaire dans les paramètres de configuration de votre périphérique. En règle générale, plus votre Firebox génère de messages de journal, plus l'impact sur les performances de votre Firebox sera important, mais cela peut aussi dépendre du niveau de journalisation que vous avez sélectionné. Après avoir configuré la journalisation sur votre Firebox, si vous remarquez une diminution de ses performances, vous pouvez vérifier vos paramètres de journalisation et les ajuster autant que nécessaire pour améliorer les performances. Lorsque vous réglez le Niveau du Journal de Diagnostic de votre périphérique, WatchGuard recommande de ne pas sélectionner le niveau de journal Débogage en raison de l'augmentation significative des messages de journal générés par ce niveau de journal, à moins que le Support Technique WatchGuard ne vous demande de le faire. Pour plus d'informations, voir Définir le niveau de la journalisation de diagnostic

Vous devez préciser l'emplacement où votre périphérique envoie les messages de journal :

1. Sélectionnez Configurer > Journalisation.
   La boîte de dialogue Configurer la journalisation s'affiche avec l'onglet Log Servers 1 sélectionné.

2. Configurez les paramètres de journalisation du serveur WatchGuard Log Server, du serveur Syslog et du stockage interne Firebox.

WatchGuard Log Server

Pour envoyer les messages de journal vers vos serveurs WatchGuard Log Server (Log Server WSM ou Dimension), cochez la case Envoyer les messages de journal vers ces serveurs Log Server. Un périphérique Firebox peut envoyer des messages de journal à un serveur WatchGuard Log Server et à un serveur syslog simultanément.

Vous pouvez configurer votre périphérique pour qu'il envoie des messages de journal à deux ensembles de serveurs Log Server à la fois. Pour chaque type de Log Server, si le Firebox ne peut pas se connecter au Log Server principal, il essaie de se connecter au Log Server suivant de la liste de priorité du même type. Si le périphérique examine chaque serveur Log Server dans la liste et ne peut pas s'y connecter, il essaie à nouveau de se connecter au premier Log Server de la liste. Lorsque le serveur Log Server principal n'est pas disponible et que le périphérique est connecté à un Log Server de secours, le périphérique tente de se reconnecter au Log Server principal toutes les 6 minutes. Cela n'a aucune incidence sur la connexion du périphérique au serveur Log Server de secours jusqu'à ce que le serveur Log Server principal soit disponible.

Pour ajouter ou modifier les adresses de vos Log Servers, cliquez sur Configurer et sélectionnez un onglet : Log Servers 1 ou Log Servers 2. Vous pouvez ajouter jusqu'à cinq Log Servers à la liste de chaque onglet. Pour plus d'informations, voir Ajouter un serveur Log Server.

Les messages de journal envoyés à un serveur WatchGuard Log Server sont chiffrés quand ils sont envoyés au serveur. Pour plus d'informations, voir À propos de la journalisation, des fichiers journaux et de la notification.

Serveur Syslog

Cochez la case Envoyer les messages de journal à ce serveur syslog pour envoyer des messages de journal à votre serveur syslog. Un périphérique Firebox peut envoyer des messages de journal à un serveur WatchGuard Log Server et à un serveur syslog simultanément.

Dans la zone de texte Adresse IP, entrez l'adresse IP du serveur syslog.

Dans la zone de texte Port, le port du serveur syslog par défaut (514) s'affiche. Pour changer le port du serveur syslog, tapez ou sélectionnez un autre port.

Dans la liste déroulante Format des journaux, sélectionnez une option :

• Pour envoyer les messages de journal vers votre serveur syslog, sélectionnez Syslog.
• Pour envoyer les messages de journal vers votre serveur QRadar, sélectionnez IBM LEEF.

Pour configurer des paramètres supplémentaires des serveurs syslog ou QRadar, cliquez sur Configurer. Pour plus d'informations, voir Configurer les Paramètres de Serveur Syslog.

Les messages des journaux envoyés vers un serveur syslog ne sont pas chiffrés.

Stockage interne Firebox

Pour stocker les messages de journal sur le périphérique Firebox, sélectionnez Envoyer les messages de journal dans le stockage interne du Firebox. Ces messages de journal sont aussi inclus dans le fichier support.tgz.

Pour plus d'informations sur le fichier support.tgz, consultez Statistiques du trafic et des performances (Rapport d'état).

Le volume de stockage réservé aux données de messages de journal sur votre Firebox est limité. Pour enregistrer tous les messages de journal dont vous pourriez avoir besoin pour une consultation ultérieure, vérifiez que vous avez bien configuré votre Firebox pour envoyer les messages de journal à une ou plusieurs instances de Dimension ou serveurs Log Server WSM. Pour plus d'informations, voir WatchGuard Log Server.

Statistiques de performance

Par défaut, le Firebox envoie les messages de journal relatifs aux performances de l'interface externe et les statistiques concernant la bande passante VPN à votre fichier journal. Pour désactiver ce type de message de journaux, cliquez sur Statistiques de performances. Pour plus d'informations, voir Inclure les Statistiques de Performance dans les Messages de Journaux.

Niveau du journal de diagnostic

Pour définir le niveau du journal de diagnostic à écrire dans votre fichier journal ou pour consulter le moniteur du trafic pour chaque catégorie de journalisation, cliquez sur Niveau du journal de diagnostic. Pour plus d'informations, voir Définir le niveau de la journalisation de diagnostic.

Pour obtenir plus d'informations sur Traffic Monitor, consultez Messages de journal du périphérique (Moniteur du trafic).

3. Pour envoyer un message de journal aux destinations de messages de journal sélectionnées en cas de modification de la configuration du Firebox, cochez la case Envoyer les messages de journal en cas de modification de la configuration de ce Firebox.
   Vous pouvez également consulter ces messages de journal de suivi d'audit de Firebox dans Log Manager ou dans le rapport de Suivi d'Audit.
4. Cliquez sur OK.

Voir aussi

Configurer vos Log Server

Afficher les Messages du Journal & les Rapports dans WebCenter

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.