Búsqueda de Logs (WatchGuard Cloud)

Se Aplica a: Fireboxes Gestionados en la Nube, Fireboxes Gestionados Localmente

En la página Búsqueda de Logs de WatchGuard Cloud para un dispositivo o carpeta, puedes crear consultas de búsqueda simples o complejas a fin de encontrar detalles específicos en los mensajes de log. Búsqueda de Logs utiliza el Lenguaje WatchGuard Query para buscar mensajes de log almacenados en WatchGuard Cloud. Después de ejecutar una búsqueda, puedes exportar los resultados de esta a un archivo y guardarlo para uso posterior fuera de WatchGuard Cloud.

Realizar una Búsqueda desde la Página Búsqueda de Logs

Los Fireboxes pueden enviar varios tipos de mensajes de log para eventos que ocurren en el Firebox. Los tipos de mensajes de log son Tráfico, Alarma, Evento y Estadística. Para obtener más información sobre los tipos de mensajes de log, consulta el Catálogo de Logs de WatchGuard, disponible en la página Documentación del Firebox.

WatchGuard Cloud almacena los mensajes de log de diagnóstico enviados por un Firebox, pero no son visibles en Log Manager ni Búsqueda de Logs. Si se necesita la resolución de problemas, puedes solicitar estos mensajes de log de diagnóstico al Soporte Técnico de WatchGuard.

En Fireware v12.5.4 o superior, el Firebox envía mensajes de log de diagnóstico a WatchGuard Cloud solo cuando Support Access está habilitado. Para obtener más información, consulta .

Para buscar mensajes de log en WatchGuard Cloud:

Inicia sesión en WatchGuard Cloud.
Selecciona Monitorizar > Dispositivos.
Selecciona una carpeta o un dispositivo.
Para seleccionar el intervalo de fechas de los mensajes de log, haz clic en .

En la lista de informes, selecciona Logs > Búsqueda de Logs.
Se abre la página Búsqueda de Logs para el dispositivo seleccionado.
Para especificar qué tipo de mensajes de log incluir en la búsqueda, en la lista desplegable en el lado derecho de la página, selecciona el tipo de mensajes de log. Para buscar todos los tipos de mensajes de log, selecciona Todos los Logs.
En el cuadro de texto Buscar, escribe la consulta de búsqueda. Para seleccionar un nombre de campo de mensajes de log de una lista, escribe un espacio o haz clic en . Para buscar una palabra parcial, debes incluir el comodín * al final de la palabra parcial. Para obtener más información sobre cómo crear una consulta, ve Lenguaje de WatchGuard Query.

La lista desplegable de campos no incluye todos los campos que podrían aparecer en un mensaje de log. Tu consulta puede incluir cualquier nombre de campo que se muestre en un mensaje de log del Firebox.

WatchGuard Cloud no admite la búsqueda en todos los campos y todos los logs con comodines. Debes seleccionar un tipo de mensaje de log y un campo si deseas utilizar un comodín.

Para ejecutar la búsqueda, presiona Enter o haz clic en .
La página se actualiza para mostrar los mensajes de log que coinciden con tu consulta de búsqueda. Los términos que coinciden con la consulta de búsqueda están en negrita. Si los criterios de búsqueda son demasiado amplios, después de 30 segundos, se muestran resultados parciales. Debes reducir el intervalo de tiempo o introducir criterios de búsqueda más específicos.

Mensajes de Log del Firebox

Los mensajes de log del Firebox constan de varios campos separados por comas. Cada campo contiene información específica sobre un evento y puede incluir un nombre de campo y un valor. Para obtener más información sobre los mensajes de log del Firebox, consulta .

Por ejemplo, en los resultados de Búsqueda de Logs de WatchGuard Cloud, un mensaje de log podría ser así:

FWDeny, Denied, disp=Deny, pri=4, policy=Unhandled External Packet-00, protocol=25536/udp, src_ip=192.168.41.58, src_port=25536, dst_ip=255.255.255.255, dst_port=25536, src_intf=0-External, dst_intf=Firebox, rc=101, pckt_len=208, ttl=128, 3000-0148

En un mensaje de log, los nombres y valores de los campos están separados por un signo igual (=). En una consulta de Búsqueda de Logs, se usan dos puntos (:) para separar los nombres y valores de los campos.

Lenguaje de WatchGuard Query

Puedes usar el Lenguaje WatchGuard Query para crear búsquedas simples o complejas de sus mensajes de log del Firebox. Tu consulta puede incluir lo siguiente:

Términos de búsqueda — Especifica los campos y los valores que se van a buscar.
Comodines — Iguala cualquier cantidad de caracteres. Debes usar el comodín * para buscar una palabra parcial en los mensajes de log.
Operators — Especifica cómo cada término de búsqueda expande o restringe la búsqueda.
Paréntesis — Especifica el orden de las operaciones en una consulta que contiene múltiples operadores.

Cada uno de estos elementos se explica en más detalle en las secciones a continuación.

Términos de Búsqueda

Tu consulta puede incluir uno o más términos de búsqueda.

Los términos de búsqueda no distinguen mayúsculas de minúsculas. Por ejemplo, si tu consulta especifica User1, los resultados de búsqueda pueden incluir mensajes de log con el texto user1 al igual que User1.
Si tu término de búsqueda incluye un espacio, el espacio se considera parte del texto que se va a buscar.
Debes usar el comodín * para encontrar una palabra parcial en los mensajes de log. Por ejemplo, para buscar mensajes de log sobre un nombre de virus que comience con "eicar", busca "virus:eicar*".
Todos los términos de búsqueda admiten la notación CIDR para coincidir con las direcciones IP en una red. Por ejemplo, podrías especificar 10.0.1.0/24 para buscar mensajes de log que incluyen una dirección IP en esa red.
Cada término de búsqueda puede ser un valor único o incluir un nombre de campo y un valor.
Para buscar un valor en cualquier campo de mensajes de log, especifica el valor sin un nombre de campo. Por ejemplo, http*.
Para buscar un valor en un campo de mensajes de log específico, especifica el nombre del campo y el valor que se va a buscar. Los nombres de campo siempre están en minúscula. Por ejemplo, src_ip:10.0.10.1.

Comodines

Los términos de búsqueda admiten el comodín *, el cual iguala cualquier número de caracteres en un campo de mensajes de log.

Los términos de búsqueda sin un nombre de campo solo admiten comodines centrales y finales. No se admiten los comodines iniciales.
Los términos de búsqueda que incluyen un nombre de campo admiten comodines iniciales, centrales y finales.
La consulta de búsqueda completa puede contener un máximo de cuatro comodines.

Operators

En tu consulta, puedes especificar uno o más elementos a buscar, separados por uno de estos operadores:

OR — Amplía la búsqueda. Los resultados de la búsqueda incluyen mensajes de log que contienen uno o ambos elementos.
AND — Limita la búsqueda. Los resultados de la búsqueda solo incluyen mensajes de log que contienen ambos elementos.
NOT — Limita la búsqueda. Los resultados de búsqueda excluyen los mensajes de log que contienen este término. Si este no es el primer término en la búsqueda, debes precederlo con “AND” u “OR”.

Los operadores de búsqueda deben estar en mayúsculas.

Paréntesis

En una consulta con múltiples operadores, puedes usar paréntesis para agrupar los elementos que deseas evaluar primero. Puedes usar un nivel de paréntesis para agrupar elementos dentro de una consulta. Por ejemplo, disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Caracteres Especiales Escape

La sintaxis del Lenguaje WatchGuard Query usa los dos puntos (:) para separar los nombres y valores de los campos. Para especificar un valor, como una dirección mac, que contiene dos puntos, precede cada dos puntos con una barra diagonal inversa (\). Por ejemplo, mac:ac\:00\:bb\:cc\:dd\:ee

Consultas de Ejemplo

El filtro de tipo de mensajes de log se establece como Logs de Tráfico de forma predeterminada. Para buscar todos los mensajes de log, selecciona Todos los Logs.

Busca mensajes de log de eventos donde el valor del campo msg: comience con el texto DHCP:

msg:DHCP*

Busca mensajes de log de eventos donde un valor de campo comienza con el texto DHCP y contiene la dirección mac: ac\:00\:bb\:cc\:dd\:ee

DHCP*ac\:00\:bb\:cc\:dd\:ee*

Busca mensajes de log donde un valor de campo comienza con DNS en cualquier campo:

DNS*

Busca mensajes de log donde el nombre de política comienza con outgoing:

policy:outgoing*

Busca mensajes de log donde el valor del campo mac: comienza con ac:00:bb:cc:

mac:ac\:00\:bb\:cc*

Busca mensajes de log donde el nombre de política es Unhandled External Packet-00:

policy:unhandled external packet-00

Busca mensajes de log donde el nombre del FQDN comienza con watch y termina con .com:

fqdn_dst_match:watch*.com

Busca mensajes de log donde el nombre de política comienza con unhandled y la dirección IP de destino no es 255.255.255.255:

policy:unhandled* AND NOT dst_ip:255.255.255.255

Busca mensajes de log que contienen el valor exacto http/tcp o https/tcp en cualquier campo:

http/tcp OR https/tcp

Busca mensajes de log donde la dirección IP de origen es 10.0.2.1 y el nombre de la aplicación contiene el valor google:

src_ip:10.0.2.1 AND app_name:*google*

Busca mensajes de log donde cualquier valor de campo comienza con el texto microsoft y la dirección IP de origen está en las redes 10.0.2.0/24 o 10.0.1.0/24:

microsoft* AND (src_ip:10.0.2.0/24 OR src_ip:10.0.1.0/24)

Exportar Resultados de Búsqueda

Una vez completada la búsqueda, puedes exportar los resultados de búsqueda a un archivo CSV que puedes descargar en un archivo ZIP. El archivo ZIP contiene el archivo CSV con los resultados de la búsqueda y un archivo de texto con los parámetros de la búsqueda.

Para exportar los resultados de la búsqueda, en la página Búsqueda de Logs:

Encima de la sección de parámetros de búsqueda, haz clic en el icono CSV.
Si el archivo no se descarga automáticamente, selecciona abrir o guardar el archivo.

Ver También

Log Manager (WatchGuard Cloud)

Lista de Informes de Dispositivos de WatchGuard Cloud

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en los Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos propietarios.