Log Search (FireCloud)

Aplica A: Acceso a Internet FireCloud

En la página Log Search de FireCloud, puede crear consultas de búsqueda simples o complejas para encontrar detalles específicos en los mensajes de registro. Log Search utiliza el WatchGuard Query Language para buscar mensajes de registro de FireCloud almacenados en WatchGuard Cloud. WatchGuard almacena los mensajes de registro de FireCloud durante un año.

Los usuarios finales también pueden ver los mensajes de registro activos en el connection manager de FireCloud y exportarlos a un archivo.

De forma predeterminada, Log Search le ayuda a crear sus propias consultas. Puede seleccionar los campos y valores del mensaje de registro que desea buscar. Si desea crear su propia consulta, puede seleccionar la opción de búsqueda Avanzada. Puede hacer esto si tiene una consulta compleja que la búsqueda básica no puede crear.

Cuando utilice la búsqueda avanzada, le recomendamos que primero cree su consulta con la búsqueda básica y, a continuación, cambie a la búsqueda avanzada y realice los cambios.

Realizar una Búsqueda desde la Página Log Search de FireCloud

Para buscar mensajes de registro de FireCloud en WatchGuard Cloud:

  1. Inicie sesión en WatchGuard Cloud.
  2. Si tiene una cuenta Service Provider, seleccione una cuenta desde el Administrador de Cuentas.
  3. Seleccione Monitorizar > FireCloud.
  4. Seleccione Log Search.
  5. Para seleccionar el intervalo de fechas para los mensajes de registro, haga clic en Icono de fecha.

    Screenshot of the FireCloud Log Search page with recent log searches and example searches

  1. Para repetir una búsqueda reciente, en la sección Búsquedas Recientes de Registros, haga clic en una consulta.
  2. Para especificar qué tipo de mensajes de registro desea buscar, seleccione la barra de búsqueda y, en la lista desplegable Log Search, seleccione General o Servicios de Seguridad.
  3. En las secciones Servicios de Seguridad y Campos de Mensajes de Registro, haga clic en Agregar Campo para especificar los campos de mensajes de registro que desea buscar. Debe seleccionar un campo de mensaje de registro y especificar un valor o una cadena para buscar en ese campo de mensaje de registro. Para los campos de mensajes de registro que tienen valores específicos, como Permitir o Denegar, seleccione el valor correspondiente en la lista desplegable.
  4. Después del nombre del campo, ingrese el texto de la consulta de búsqueda.
    Para buscar una palabra parcial, debe incluir el carácter comodín * al final de la palabra parcial. Para más información acerca de cómo crear una consulta, vaya a WatchGuard Query Language.

Su consulta puede incluir cualquier nombre de campo que se muestre en un mensaje de registro de FireCloud.

WatchGuard Cloud no admite búsquedas con comodines para todos los campos y en todos los tipos de mensajes de registro. Si desea utilizar un carácter comodín, deberá seleccionar un tipo de mensaje de registro e incluir un nombre de campo.

  1. Para ejecutar la búsqueda, presione Enter o haga clic en Buscar.
    La página se actualiza para mostrar mensajes de registro que coinciden con su consulta de búsqueda.


Mensajes de Registro de FireCloud

Los mensajes de registro de FireCloud consisten de varios campos separados por comas. Cada campo contiene información específica sobre un evento y puede incluir un nombre de campo y un valor.

Por ejemplo, en los resultados de búsqueda de registros de FireCloud, un mensaje de registro podría ser así:

disp=allow, d=2024-04-30 08:02:43, wgc_client_id=test1, wgc_policy_id=fwnpl_firewan_wVAjUuMf7EwBOw, proto=tcp, src_ip=10.20.133.104, src_port=57628, dst_ip=108.156.172.123, dst_port=443, dst_host=atlas.ngtv.io, http_uri=/v2/locate, http_method=OPTIONS, sent=498, rcvd=699, took=19, log_type=tr, geo_dst=USA, app_cat=Web services, app_cat_id=14, app_name=Google Chrome, app_id=8, url_cat=Business and Economy

En un mensaje de registro, los nombres y los valores de los campos están separados por un signo igual (=). En una consulta de Log Search, se usan dos puntos (:) para separar los nombres y valores de los campos.

WatchGuard Query Language

Puede usar el WatchGuard Query Language para crear búsquedas simples o complejas de sus mensajes de registro de FireCloud. Para tener mejores resultados, incluya un nombre de campo que se muestre en un mensaje de registro del FireCloud.

Su consulta puede incluir lo siguiente:

  • Nombres de campos — Especifique el nombre de campo que se muestra en el mensaje de registro del FireCloud. Esto es obligatorio para todas las búsquedas que incluyen registros de más de 10 días atrás.
  • Términos de búsqueda — Después de escribir o seleccionar un nombre de campo, especifique los valores que desea buscar.
  • Caracteres Comodín — Iguala cualquier cantidad de caracteres. Debe usar el carácter comodín * para buscar una palabra parcial en los mensajes de registro.
  • Buscar Operadores — Especifique cómo cada término de búsqueda expande o restringe la búsqueda.
  • Paréntesis — Especifica el orden de las operaciones en una consulta que contiene múltiples operadores de búsqueda.

Las siguientes secciones explican estos elementos con mayor detalle.

Nombres de Campos

Recomendamos que su consulta incluya un nombre de campo que se muestre en un mensaje de registro del FireCloud. Si su búsqueda incluye mensajes de registro de más de 10 días atrás, aparece en la página una lista de búsquedas de nombres de campos sugeridos.

Los nombres de campos disponibles dependerán del tipo de mensaje de registro que seleccione. Para ver una lista de los nombres de campos disponibles para el tipo de registro seleccionado, use la búsqueda básica para que le ayude a desarrollar su consulta.

Términos de Búsqueda

Su consulta puede incluir uno o más términos de búsqueda.

  • Los términos de búsqueda no distinguen mayúsculas de minúsculas. Por ejemplo, si su consulta especifica User1, los resultados de búsqueda pueden incluir mensajes de registro con el texto user1 al igual que User1.
  • Si su término de búsqueda incluye un espacio, el espacio se considera parte del texto que se va a buscar.
  • Debe usar el carácter comodín * para encontrar una palabra parcial en los mensajes de registro. Por ejemplo, para encontrar mensajes de registro de un usuario cuyo nombre empieza con "A", busque "src_user:a*".
  • Para tener mejores resultados, cada término de la búsqueda debe incluir un nombre de campo y un valor. Especifique el nombre de campo y el valor que desea buscar. Los nombres de campo siempre están en minúscula. Por ejemplo, src_ip:10.0.10.1.
  • Si su consulta usa términos específicos como “bovpn”, “ssl”, “auth”, “virus” o “ips”, y no hay resultados, trate de encontrar esos eventos como parte del mensaje. Por ejemplo, para encontrar eventos “auth” en un mensaje, busque msg:*auth*. Para consultar otros ejemplos, vaya a Consultas de Ejemplo.

Caracteres Comodín

Los términos de búsqueda admiten el carácter comodín *, el cual iguala cualquier número de caracteres en un campo de mensajes de registro.

  • Los términos de búsqueda sin un nombre de campo solo admiten caracteres comodín centrales y finales. No se admiten caracteres comodín iniciales.
  • Los términos de búsqueda que incluyen un nombre de campo admiten caracteres comodín iniciales, centrales y finales.
  • La consulta de búsqueda completa puede contener un máximo de cuatro caracteres comodín.

Operadores de Búsqueda

En su consulta, puede especificar uno o más elementos a buscar, separados por uno de estos operadores de búsqueda:

  • OR — Amplía la búsqueda. Los resultados de la búsqueda incluyen mensajes de registro que contienen uno o ambos elementos.
  • AND — Limita la búsqueda. Los resultados de la búsqueda solo incluyen mensajes de registro que contienen ambos elementos.
  • NOT — Limita la búsqueda. Los resultados de búsqueda excluyen los mensajes de registro que contienen este término. Si este no es el primer término en la búsqueda, debe precederlo con “AND” u “OR”.

Los operadores de búsqueda deben estar en mayúsculas.

Paréntesis

En una consulta con múltiples operadores de búsqueda, puede usar paréntesis para agrupar los elementos que desea evaluar primero. Puede usar un nivel de paréntesis para agrupar elementos dentro de una consulta. Por ejemplo, disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Consultas de Ejemplo

Cuando cree una búsqueda, empiece con búsquedas de consultas parciales sencillas y luego, si es necesario, expanda los criterios de búsqueda.

Busque mensajes de registro en los que FireCloud haya denegado el tráfico para cualquier host de destino:

dst_host:* AND disp:deny*

Encuentre mensajes de registro donde FireCloud denegó el tráfico para el usuario [email protected]:

wgc_client_id:[email protected] AND disp:deny

Buscar mensajes de registro en los que el nombre de la regla de acceso sea Default y en los que la dirección IP de destino no sea 8.8.8.8:

policy:Default AND NOT dst_ip:8.8.8.8

Cuando los resultados de la búsqueda son muy grandes, WatchGuard Cloud no devuelve resultados. Reduzca el intervalo de tiempo o ingrese criterios de búsqueda más específicos.

Temas Relacionados

Log Manager (WatchGuard Cloud)

Configurar las Reglas de Notificación de FireCloud

Acerca del Informe de Uso de FireCloud