Temas Relacionados
Acerca de la Generación de Archivos de Registro, los Archivos de Registro y la Notificación
Una función importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad, examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema de mensaje de registro de WatchGuard crea archivos de registro con información acerca de seguridad referente a eventos que se pueden revisar para monitorear la actividad y seguridad de su red, identificar riesgos de seguridad y solucionarlos.
Un archivo de registro es una lista de eventos, junto con información acerca de esos eventos. Un evento es una actividad que ocurre en el Firebox. Un ejemplo de un evento es cuando el Firebox niega un paquete. Su Firebox también puede capturar información acerca de eventos permitidos para darle una imagen más completa de la actividad en su red.
Para revisar los mensajes de registro generados por su Firebox y los servidores WatchGuard, puede usar el Traffic Monitor, Log Manager o Dimension. Para obtener más información, consulte las siguientes secciones.
El sistema de mensajes de registro WatchGuard tiene varios componentes, que se describen en las siguientes secciones.
Acerca de Mensajes de Registro
Su Firebox y sus servidores WatchGuard pueden enviar mensajes de registro a su WSM Log Server o WatchGuard Dimension. Los Firebox también pueden enviar mensajes de registro a un servidor de syslog o guardar los registros localmente en el Firebox. Puede optar por enviar los mensajes de registro a una o ambas ubicaciones.
Luego puede usar el Firebox System Manager para ver los mensajes de registro en tiempo real en la pestaña Traffic Monitor. También puede examinar los mensajes de registro con el Log Manager o con WatchGuard Dimension. Los mensajes de registro se guardan en el WSM Log Server en el directorio de WatchGuard en un archivo de base de datos SQL con extensión .wgl.xml.
Para obtener más información sobre Traffic Monitor y Log Manager, consulte las secciones Traffic Monitor y Log Manager y Report Manager .
Para obtener más información acerca de Dimension, consulte Configurar y Administrar Dimension.
Para conocer más sobre los distintos tipos de mensajes de registro que envía el Firebox, consulte Tipos de Mensajes de Registro.
Para obtener más información acerca de cómo configurar su Firebox para enviar mensajes de registro, consulte estos temas:
- Establecer las Preferencias de Generación de Registros y Notificación
- Ajustar la Configuración de Generación de Registros & Estadísticas de Desempeño (Web UI)
- Enviar Mensajes de Registro al WatchGuard Log Server (Web UI)
- Definir a Dónde Envía el Firebox los Mensajes de Registro (WSM)
- Configurar la Generación Registros y Notificación para una Política (Web UI) (Web UI)
- Configurar la Generación Registros y Notificación para una Política (Policy Manager) (WSM)
Para obtener más información sobre algunos de los mensajes de registro generados por su Firebox, consulte el Catálogo de Registros de Fireware.
Servidores de Registro
Hay dos métodos para guardar los archivos de registro con el Fireware Web UI:
WatchGuard Log Server
Puede usar WatchGuard System Manager (WSM) Log Server o WatchGuard Dimension. Si tiene un Firebox, puede configurar un Log Server para recopilar mensajes de registro para su Firebox.
Syslog
Ésta es una interfaz de registro desarrollada para UNIX pero que también es utilizada en muchos otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su Firebox para que envíe mensajes de registro a su servidor de syslog. Para encontrar un servidor de syslog compatible con su sistema operativo, ingrese una búsqueda en Internet para syslog daemon.
Si su Firebox está configurado para enviar archivos de registro a un WSM Log Server o a un Dimension y la conexión falla, los archivos de registro no se recolectan. Para prevenir la pérdida de archivos de registro, puede configurar su Firebox para que también envíe mensajes de registro a un host syslog que esté en la red de confianza local.
Para obtener más información sobre cómo enviar mensajes de registro al WatchGuard Log Server, consulte Enviar Mensajes de Registro al WatchGuard Log Server (Web UI).
Para obtener más información acerca de WatchGuard Dimension, consulte Configurar y Administrar Dimension.
Para obtener más información sobre cómo enviar mensajes de registro a un host syslog, consulte Configurar los Ajustes del Servidor Syslog.
Los WatchGuard Log Servers recolectan datos de mensaje de registro de cada Firebox o servidor WatchGuard conectado. Los Log Servers reciben información en los puertos TCP 4107 y 4115. Cada Firebox que conecta al primer Log Server envía su nombre, número de serie, zona horaria y versión del software y, después, envía los datos de registro cuando se producen nuevos eventos. La información que los Firebox envían incluye mensajes de registro de estadísticas de tráfico, alarma, evento, depuración y desempeño. El número de serie (SN) de Firebox se utiliza para identificar de forma exclusiva el Firebox en la base de datos del Log Server. Aunque los mensajes de registro enviados a su Log Server pueden surgir de muchas zonas horarias, el Log Server almacena todos los mensajes de registro en formato UTC. El Log Server usa instancias múltiples de base de datos PostgreSQL para administrar su base de datos global. Cada instancia de la base de datos PostgreSQL aparece en el Administrador de tareas del Windows como un proceso PostgreSQL separado.
El Log Server usa varios procesos y módulos para recolectar y almacenar datos de mensaje de registro.wlcollector.exe es el proceso de recolección de registros. Su Firebox se conecta a este proceso para la generación de registros en los puertos TCP 4115 o 4107. wlcollector.exe ejecuta dos módulos: ap_collector y ap_notify. ap_collector obtiene los registros del Firebox y los coloca en la base de datos del Log Server. ap_notify obtiene alarmas del Firebox y envía el tipo de notificaciones que seleccione.
Los mensajes de registro se envían al WatchGuard Log Server en XML (texto sin formato) y se cifran mientras están en tránsito con una conexión SSL (AES 256-bit). Esos datos de registro no están cifrados mientras están almacenados en la base de datos del Log Server.
Puede instalar el WatchGuard Log Server en el equipo de administración o en un equipo diferente. También puede añadir Log Servers adicionales por respaldo y escalabilidad. Para hacer eso, use el programa de instalación del WatchGuard System Manager (WSM) y seleccione instalar sólo el componente del Log Server.
Después que su Log Server haya recolectado los datos de registro de sus Firebox, puede usar el WatchGuard Report Server para consolidar periódicamente los datos y generar informes. Cuando el Report Server obtiene datos del Log Server, esos datos de mensajes de registro se envían mediante una conexión SSL cifrada (AES 256-bit).
Para obtener más información acerca de Report Server, consulte Acerca del Report Server.
Generación de Registros y Notificación en Aplicaciones y Servidores
El Log Server puede recibir mensajes de registro de su Firebox o servidor WatchGuard. Después de configurar su Firebox y el Log Server, el Firebox envía mensajes de registro al Log Server. Puede habilitar la generación de registros en diversas aplicaciones y políticas de WSM que haya definido para su Firebox para controlar el nivel de registros visibles. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debe activar la generación de registros en aquel servidor.
Para obtener más información acerca del envío de mensajes de registro de su Firebox, consulte Configurar la Generación Registros y Notificación para una Política (Policy Manager).
Para obtener más información acerca del envío de mensajes de registro de su servidor WatchGuard, consulte Configurar los Ajustes de la Generación de Registros para el Log Server.
Archivos de Registro
WatchGuard Log Server usa los archivos wlcollector.log y ap_collector.log para almacenar información acerca de las conexiones de Firebox y base de datos. Esa información incluye errores de autenticación, discordancias entre desafío y respuesta, y errores de acceso a base de datos.
Esos archivos son almacenados en este directorio de forma predeterminada:
C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
Bases de datos
La información de registro se almacena en la base de datos PostgreSQL. Cada Log Server tiene cuatro tablas principales de base de datos que almacenan los mensajes de registro para todos los Firebox. El Log Server crea particiones de tamaño fijo para almacenar la información de registro. Para modificar manualmente los contenidos de la base de datos del Log Server, puede usar el aviso de comando PostgreSQL o una aplicación de terceros, como pgadmin.
Cuando un Firebox se conecta al Log Server por primera vez, éste actualiza la base de datos global con la información acerca del nuevo Firebox. Los mensajes de registro de cada Firebox se envían a una de las cuatro tablas de base de datos del Log Server. Los datos en estas tablas se utilizan cuando se miran los archivos de registro o cuando se crea un informe en el WebCenter de WatchGuard.
Los informes generados por un WatchGuard Report Server se almacenan como archivos XML en este directorio:
C:\ProgramData\WatchGuard\wrserver\reports\
Desempeño y Espacio en Disco
Puede configurar varios Firebox para enviar información de registro a un único Log Server. Este número es estrictamente limitado sólo por el espacio en disco disponible. No obstante, el número exacto de Firebox que puede conectar a su Log Server depende del tamaño y la velocidad de sus discos duros, la cantidad de RAM disponible, el número de procesadores y el volumen de tráfico de registro que cada Firebox conectado envía al Log Server. Puede aumentar enormemente el desempeño de su Log Server añadiendo un disco duro más rápido, más memoria y otro procesador.
El Log Server incluye una configuración que puede ser alterada para remover automáticamente antiguos mensajes de registro de la base de datos. Cuando configura un Log Server por primera vez, recomendamos que calcule cuánto espacio en disco se usa en un día promedio. Estime cuántos días de mensajes de registro puede guardar antes que la base de datos ocupe demasiado espacio en disco, después altere las configuraciones para que coincidan con ese intervalo de tiempo. Cuando los mensajes de registro son removidos de la base de datos, el espacio en disco es reutilizado cuando se crean nuevas entradas de registro.
El utilitario reindexdb reconstruye los índices en una o más tablas de base de datos PostgreSQl para mejor desempeño. Ese utilitario debería ser ejecutado sólo por recomendación de un representante de soporte de WatchGuard.
Log Manager y Report Manager
Puede usar las páginas Log Manager y Report Manager de la WebCenter Web UI interactiva de WatchGuard para ver los detalles en sus archivos de registro, ver informes generados desde sus Firebox y servidores WatchGuard y generar informes a pedido. Cuando abre un informe, puede desplazarse por los datos de cualquier informe para ver la información detallada incluida allí. Cada informe incluye enlaces a los detalles de informes relacionados.
Para obtener más información, consulte Ver Mensajes de registro e Informes en WebCenter, Ver Mensajes de Registro de Dispositivo en WebCenter, y Ver Informes en Report Manager:.
Traffic Monitor
En la pestaña Traffic Monitor de Firebox System Manager (FSM), puede ver un registro de mensajes desde su Firebox mientras ocurren. En algunas redes, puede haber un pequeño retraso mientras se envían los mensajes de registro. Traffic Monitor puede ayudar a solucionar problemas de desempeño de red. Por ejemplo, puede ver cuáles políticas son más usadas o si las interfaces externas son usadas constantemente en su máxima capacidad.
Para obtener más información, consulte Mensajes de Registro del Dispositivo (Traffic Monitor).
Estado del Sistema de Traffic Monitor
En la página Traffic Monitor de Fireware Web UI, puede ver mensajes de registro desde su Firebox a medida que se producen. En algunas redes, puede haber un pequeño retraso mientras se envían los mensajes de registro. Traffic Monitor puede ayudar a solucionar problemas de desempeño de red. Por ejemplo, puede ver cuáles políticas son más usadas o si las interfaces externas son usadas constantemente en su máxima capacidad.
Para obtener más información, consulte Traffic Monitor.
Ver también
Inicio Rápido — Configurar la Generación de Registros para su Red
Ver Mensajes de registro e Informes en WebCenter