Log Search (FireCloud)

Gilt für: FireCloud-Internetzugang

Auf der FireCloud Log Search-Seite können Sie einfache oder komplexe Suchabfragen erstellen, um bestimmte Details in Protokollmeldungen zu finden. Log Search verwendet die WatchGuard Query Language, um in WatchGuard Cloud gespeicherte FireCloud-Protokollmeldungen zu durchsuchen. WatchGuard speichert FireCloud-Protokollmeldungen für einen Zeitraum von einem Jahr.

Endnutzer können aktive Protokollmeldungen auch im FireCloud Connection Manager aufrufen und diese Protokollmeldungen in eine Datei exportieren.

Standardmäßig hilft Ihnen Log Search beim Erstellen eigener Abfragen. Sie können auswählen, nach welchen Protokollmeldungsfeldern und -werten Sie suchen möchten. Wenn Sie eine eigene Abfrage erstellen möchten, können Sie die Option Erweiterte Suche auswählen. Sie können dies tun, wenn Sie eine komplexe Abfrage haben, die eine einfache Suche nicht für Sie erstellen kann.

Wenn Sie die erweiterte Suche verwenden, empfehlen wir, dass Sie zuerst Ihre Abfrage mit der einfachen Suche erstellen, dann zur erweiterten Suche wechseln und Änderungen vornehmen.

Suche über die FireCloud Log Search-Seite ausführen

So suchen Sie FireCloud-Protokollmeldungen in WatchGuard Cloud:

  1. Melden Sie sich bei WatchGuard Cloud an.
  2. Wenn Sie ein Service-Provider-Konto haben, wählen Sie ein Konto aus dem Kontomanager aus.
  3. Wählen Sie Überwachen > FireCloud.
  4. Wählen Sie Log Search.
  5. Um den Datumsbereich für Protokollmeldungen auszuwählen, klicken Sie auf Symbol Datum.

    Screenshot of the FireCloud Log Search page with recent log searches and example searches

  1. Um eine kürzliche Suche zu wiederholen, klicken Sie im Abschnitt Kürzliche Protokollsuchen auf eine Abfrage.
  2. Um anzugeben, welche Art von Protokollmeldungen gesucht werden sollen, wählen Sie die Suchleiste, danach in der Dropdown-Liste Log Search die Option Allgemein oder Security Services.
  3. Klicken Sie in den Bereichen Security Services und Protokollmeldungsfelder auf Feld hinzufügen, um anzugeben, welche Protokollmeldungsfelder durchsucht werden sollen. Sie müssen ein Protokollmeldungsfeld auswählen und einen Wert oder eine Zeichenfolge angeben, nach der das Protokollmeldungsfeld durchsucht werden soll. Für Protokollmeldungsfelder mit bestimmten Werten, wie Zulassen oder Ablehnen, wählen Sie den entsprechenden Wert aus der Dropdown-Liste aus.
  4. Geben Sie nach dem Feldnamen den Text der Suchabfrage ein.
    Um nach einem Wortteil zu suchen, geben Sie den Platzhalter * am Ende des Wortteils ein. Weitere Informationen zum Erstellen einer Abfrage finden Sie unter WatchGuard Query Language.

Ihre Anfrage kann jeden beliebigen Feldnamen enthalten, der in einer FireCloud-Protokollmeldung erscheint.

WatchGuard Cloud unterstützt keine Platzhalter bei der Suche über alle Felder und Arten von Protokollmeldungen hinweg. Sie müssen einen Protokollmeldungstyp wählen und einen Feldnamen angeben, wenn Sie einen Platzhalter verwenden möchten.

  1. Um die Suche zu starten, drücken Sie Eingabe oder klicken Sie auf Suche.
    Die Seite wird aktualisiert, um die Protokollmeldungen anzuzeigen, die Ihrer Suchabfrage entsprechen.


FireCloud-Protokollmeldungen

FireCloud-Protokollmeldungen bestehen aus einer Reihe von durch Kommas getrennten Feldern. Jedes Feld enthält spezifische Informationen über ein Ereignis und kann einen Feldnamen und einen Wert enthalten.

In den Suchergebnissen der Protokollsuche von FireCloud könnte eine Protokollmeldung zum Beispiel so aussehen:

disp=allow, d=2024-04-30 08:02:43, wgc_client_id=test1, wgc_policy_id=fwnpl_firewan_wVAjUuMf7EwBOw, proto=tcp, src_ip=10.20.133.104, src_port=57628, dst_ip=108.156.172.123, dst_port=443, dst_host=atlas.ngtv.io, http_uri=/v2/locate, http_method=OPTIONS, sent=498, rcvd=699, took=19, log_type=tr, geo_dst=USA, app_cat=Web services, app_cat_id=14, app_name=Google Chrome, app_id=8, url_cat=Business and Economy

In einer Protokollmeldung werden Feldnamen und Werte durch Gleichheitszeichen (=) getrennt. In einer Log Search-Abfrage werden Feldnamen und Werte durch einen Doppelpunkt (:) getrennt.

WatchGuard Query Language

Mit der WatchGuard Query Language können Sie einfache oder komplexe Suchen in Ihren FireCloud-Protokollmeldungen durchführen. Das beste Ergebnis erzielen Sie, wenn Sie einen Feldnamen angeben, der in einer FireCloud-Protokollmeldung angezeigt wird.

Ihre Abfrage kann Folgendes beinhalten:

  • Feldnamen — Geben Sie den Feldnamen ein, der in der FireCloud-Protokollmeldung angezeigt wird. Dies ist für alle Suchvorgänge erforderlich, die Protokolle von vor mehr als 10 Tagen umfassen.
  • Suchbegriffe — Nachdem Sie einen Feldnamen eingegeben oder ausgewählt haben, geben Sie die Werte an, nach denen gesucht werden soll.
  • Platzhalterzeichen — Entspricht einer beliebigen Anzahl von Zeichen. Sie müssen das Platzhalterzeichen * verwenden, um nach einem Teilwort in den Protokollmeldungen zu suchen.
  • Operatoren für die Suche — Bestimmen, wie die einzelnen Suchbegriffe die Suche ausweiten oder einschränken.
  • Klammern — Bestimmen die Reihenfolge der Operationen in einer Abfrage, die mehrere Operatoren für die Suche enthält.

Die folgenden Abschnitte erläutern diese Elemente genauer.

Feldnamen

Wir empfehlen dringend, dass Ihre Abfrage einen Feldnamen enthält, der in einer FireCloud-Protokollmeldung angezeigt wird. Falls Ihre Suche Protokollmeldungen beinhaltet, die älter als 10 Tage sind, wird eine Liste vorgeschlagener Feldnamensuchen auf der Seite angezeigt.

Die verfügbaren Feldnamen hängen von der von Ihnen gewählten Art von Protokollmeldung ab. Um eine vollständige Liste verfügbarer Feldnamen für den gewählten Protokolltyp zu sehen, verwenden Sie die grundlegende Suche für den Aufbau Ihrer Suche.

Suchbegriffe

Ihre Suche kann einen oder mehrere Suchbegriffe enthalten.

  • Bei Suchbegriffen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Ihre Abfrage beispielsweise Benutzer1 angibt, könnten die Suchergebnisse sowohl Protokollmeldungen mit dem Text benutzer1 als auch Benutzer1 enthalten.
  • Wenn Ihr Suchbegriff ein Leerzeichen enthält, wird das Leerzeichen als Teil des zu suchenden Textes betrachtet.
  • Sie müssen das Platzhalterzeichen * verwenden, um ein Teilwort in den Protokollmeldungen zu finden. Um beispielsweise Protokollmeldungen von einem Benutzer zu finden, dessen Name mit einem "A" beginnt, suchen Sie nach "src_user:a*".
  • Um die besten Ergebnisse zu erzielen, sollte jeder Suchbegriff einen Feldnamen und einen Wert enthalten. Geben Sie den Feldnamen und den zu suchenden Wert an. Feldnamen werden immer kleingeschrieben. Beispiel: src_ip:10.0.10.1.
  • Falls Ihre Abfrage mit spezifischen Begriffen wie "bovpn", "ssl", "auth", "virus" oder "ips" keine Treffer aufweist, suchen Sie diese Ereignisse als Teil der Nachricht. Um beispielsweise "auth"-Ereignisse in einer Nachricht zu finden, suchen Sie nach msg:*auth*. Weitere Beispiele finden Sie unter Beispiel-Abfragen.

Platzhalterzeichen

Die Suchbegriffe unterstützen das Platzhalterzeichen *, das auf eine beliebige Anzahl von Zeichen in einem Feld einer Protokollmeldung passt.

  • Bei Suchbegriffen nach Begriffen ohne Feldnamen werden nur zentrale und nachgestellte Platzhalterzeichen unterstützt. Führende Platzhalterzeichen werden nicht unterstützt.
  • Suchbegriffe, die einen Feldnamen enthalten, unterstützen führende, zentrale und abschließende Platzhalterzeichen.
  • Die gesamte Suche kann bis zu vier Platzhalterzeichen enthalten.

Operatoren für die Suche

In Ihrer Abfrage können Sie ein oder mehrere zu suchende Elemente angeben, die durch einen dieser Operatoren für die Suche getrennt sind:

  • OR — Erweitert die Suche. Zu den Suchergebnissen gehören Protokollmeldungen, die eines oder beide Elemente enthalten.
  • AND — Schränkt die Suche ein. In den Suchergebnissen sind nur Protokollmeldungen enthalten, die beide Elemente enthalten.
  • NOT — Schränkt die Suche ein. Die Suchergebnisse enthalten die Protokollmeldungen nicht, in denen dieser Begriff enthalten ist. Wenn dies nicht der erste Begriff in der Suche ist, müssen Sie ihm ein AND oder OR voranstellen.

Die Operatoren für die Suche müssen in Großbuchstaben geschrieben werden.

Klammern

In einer Abfrage mit mehreren Operatoren für die Suche können Sie Klammern verwenden, um Elemente zu gruppieren, die Sie zuerst auswerten möchten. Sie können eine Ebene von Klammern verwenden, um Elemente innerhalb einer Abfrage zu gruppieren. Beispiel: disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Beispiel-Abfragen

Beginnen Sie beim Erstellen einer Suche mit einfachen Teilabfragen und erweitern Sie dann bei Bedarf die Suchkriterien.

Nach Protokollmeldungen suchen, bei denen FireCloud den Datenverkehr für einen beliebigen Zielhost abgelehnt hat:

dst_host:* AND disp:deny*

Nach Protokollmeldungen suchen, bei denen FireCloud den Datenverkehr für den Benutzer [email protected] abgelehnt hat:

wgc_client_id:[email protected] AND disp:deny

Nach Protokollmeldungen suchen, bei denen der Name der Zugriffsrichtlinie Default ist und die Ziel-IP-Adresse nicht 8.8.8.8 lautet:

policy:Default AND NOT dst_ip:8.8.8.8

Wenn die Trefferliste zu umfangreich ist, gibt WatchGuard Cloud keine Ergebnisse zurück. Reduzieren Sie den Zeitraum oder geben Sie spezifischere Suchkriterien ein.

Ähnliche Themen

Log Manager (WatchGuard Cloud)

FireCloud-Benachrichtigungsrichtlinien konfigurieren

Über den FireCloud-Nutzungsbericht