Log Search (FireCloud)

S'applique À : Accès à Internet FireCloud

Sur la page Log Search de FireCloud, vous pouvez créer des requêtes de recherche simples ou complexes permettant de rechercher des détails spécifiques dans les messages de journal. Log Search emploie le Langage de Requête WatchGuard pour rechercher les messages de journal de FireCloud conservés dans WatchGuard Cloud. WatchGuard conserve les messages de journal FireCloud pendant un an.

Les utilisateurs finaux peuvent également consulter les messages de journal actifs dans le FireCloud Connection Manager, et peuvent exporter ces messages de journal vers un fichier.

Par défaut, la recherche de journal vous permet de créer vos propres requêtes. Vous pouvez sélectionner les champs et les valeurs des messages de journal que vous souhaitez rechercher. Si vous souhaitez créer votre propre requête, vous pouvez sélectionner l'option Recherche Avancée. Vous pouvez procéder ainsi si vous devez exécuter une requête complexe que la recherche de base ne peut pas créer automatiquement.

Lorsque vous utilisez la recherche avancée, nous vous recommandons de créer d'abord votre requête avec la recherche de base puis de basculer vers la recherche avancée afin d'y apporter des modifications.

Effectuer une Recherche depuis la Page Log Search de FireCloud

Pour rechercher des messages de journal FireCloud, dans WatchGuard Cloud :

Connectez-vous à WatchGuard Cloud.
Si vous possédez un compte Service Provider, sélectionnez un compte dans le Gestionnaire de Comptes.
Sélectionnez Surveiller > FireCloud.
Sélectionnez Log Search.
Pour sélectionner la plage de dates des messages de journal, cliquez sur .

Pour répéter une recherche récente, dans la section Recherches de Journal Récentes, cliquez sur une requête.
Pour spécifier le type de messages de journal à rechercher, sélectionnez la barre de recherche puis dans la liste déroulante Log Search, sélectionnez Général ou Services de Sécurité.
Dans les sections Services de Sécurité et Champs du Message de Journal, cliquez sur Ajouter un Champ pour spécifier les champs du message de journal à rechercher. Vous devez sélectionner un champ de message de journal et y spécifier la valeur ou la chaîne à rechercher. Pour les champs du message de journal possédant des valeurs spécifiques telles qu'Autoriser ou Refuser, vous sélectionnez la valeur applicable dans la liste déroulante.
Après le nom du champ, saisissez le texte de la requête de recherche.
Pour rechercher un mot partiel, vous devez inclure le caractère générique * après celui-ci. Pour de plus amples informations concernant la création d'une requête, accédez à Langage de Requête WatchGuard.

Votre requête peut inclure n'importe quel nom de champ figurant dans un message de journal de FireCloud.

WatchGuard Cloud ne prend pas en charge les recherches avec caractères génériques dans tous les champs et les types de messages de journal. Vous devez sélectionner un type de message de journal et inclure un nom de champ lorsque vous souhaitez utiliser un caractère générique.

Pour lancer la recherche, appuyez sur Entrée ou cliquez sur Rechercher.
La page est mise à jour pour afficher les messages de journal correspondant à votre requête.

Messages de Journal FireCloud

Les messages de journal FireCloud se composent de différents champs séparés par des virgules. Chaque champ contient des informations spécifiques concernant un événement et peut inclure un nom de champ et une valeur.

Par exemple, dans les résultats de la recherche de journal FireCloud, un message de journal peut s'apparenter à celui-ci :

disp=allow, d=2024-04-30 08:02:43, wgc_client_id=test1, wgc_policy_id=fwnpl_firewan_wVAjUuMf7EwBOw, proto=tcp, src_ip=10.20.133.104, src_port=57628, dst_ip=108.156.172.123, dst_port=443, dst_host=atlas.ngtv.io, http_uri=/v2/locate, http_method=OPTIONS, sent=498, rcvd=699, took=19, log_type=tr, geo_dst=USA, app_cat=Web services, app_cat_id=14, app_name=Google Chrome, app_id=8, url_cat=Business and Economy

Dans un message de journal, un signe égal (=) sépare les noms de champ et les valeurs. Dans une requête Log Search, utilisez le caractère deux points (:) pour séparer les noms et les valeurs des champs.

Langage de Requête WatchGuard

Vous pouvez utiliser le Langage de Requête WatchGuard pour créer des recherches simples ou complexes parmi les messages de journal de FireCloud. Pour obtenir de meilleurs résultats, indiquez un nom de champ figurant dans un message de journal de FireCloud.

Votre requête peut inclure les éléments suivants :

Noms des champs — Spécifiez le nom de champ figurant dans le message de journal de FireCloud. Ceci est obligatoire pour toutes les recherches qui incluent des journaux datant de plus de 10 jours.
Termes de la recherche — Après avoir saisi ou sélectionné un nom de champ, spécifiez les valeurs à rechercher.
Caractères Génériques — Correspond à n'importe quel nombre de caractères. Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal.
Rechercher des Opérateurs — Indiquez la manière dont chaque terme de recherche élargit ou restreint la recherche.
Parenthèses — Spécifiez l'ordre des opérations au sein d'une requête contenant plusieurs opérateurs de recherche.

Les sections ci-dessous expliquent ces éléments en détail.

Noms des Champs

Nous vous recommandons vivement d'inclure dans votre requête un nom de champ figurant dans un message de journal de FireCloud. Si votre recherche inclut des messages de journal datant de plus de 10 jours, une liste de recherches de noms de champs suggérées s'affiche sur la page.

Les noms des champs disponibles dépendent du type de messages de journal que vous sélectionnez. Pour obtenir la liste complète des noms de champs disponibles pour le type de journal sélectionné, utilisez la recherche de base pour vous aider à créer votre requête.

Termes de la Recherche

Votre requête peut inclure un ou plusieurs termes de recherche.

Les termes de recherche ne sont pas sensibles à la casse. À titre d'exemple, si votre requête spécifie Utilisateur1, les résultats de recherche peuvent inclure les messages de journal comprenant le texte utilisateur1 comme Utilisateur1.
Si votre terme de recherche comprend un espace, celui-ci est considéré comme partie intégrante du texte à rechercher.
Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal. Par exemple, pour rechercher les messages de journal d'un utilisateur dont le nom commence par "A", recherchez "src_user:a*".
Pour obtenir de meilleurs résultats, chaque terme de recherche doit comprendre un nom de champ et une valeur. Spécifiez le nom du champ et la valeur à rechercher. Les noms de champ sont toujours en minuscules. Par exemple : src_ip:10.0.10.1.
Si votre requête emploie des termes spécifiques tels que bovpn, ssl, auth, virus ou ips et qu'aucun résultat ne s'affiche, tentez de trouver ces événements dans le message. Par exemple, pour rechercher les événements "auth" dans un message, recherchez msg:*auth*. Pour obtenir d'autres exemples, accédez à Exemples de Requêtes.

Caractères Génériques

Les termes de recherche prennent en charge le caractère générique *, qui permet de trouver n'importe quelle suite de caractères dans un champ de message de journal.

Les termes de recherche sans nom de champ n'acceptent les caractères génériques qu'en milieu et en fin de terme. Les caractères génériques de début ne sont pas pris en charge.
Les termes de recherche comprenant un nom de champ prennent en charge les caractères génériques en début, au milieu et en fin de terme.
Une requête de recherche complète peut contenir au maximum quatre caractères génériques.

Rechercher des Opérateurs

Dans votre requête, vous pouvez spécifier un ou plusieurs éléments à rechercher en les séparant par l'un des opérateurs de recherche suivants :

OR — Élargit la recherche. Les résultats de recherche renvoient les messages de journal contenant l'un ou l'autre élément.
AND — Restreint la recherche. Les résultats de recherche renvoient uniquement les messages de journal contenant les deux éléments.
NOT — Restreint la recherche. Les résultats de recherche excluent les messages de journal contenant ce terme. S'il ne s'agit pas du premier terme de la recherche, vous devez le faire précéder de AND ou OR.

Les opérateurs de recherche doivent être écrits en majuscules.

Parenthèses

Dans une requête comprenant plusieurs opérateurs de recherche, vous pouvez utiliser des parenthèses pour regrouper les éléments que vous souhaitez évaluer en premier. Vous pouvez utiliser un niveau de parenthèses pour regrouper les éléments d'une requête. Par exemple : disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Exemples de Requêtes

Lorsque vous créez une recherche, commencez par des recherches partielles simples puis élargissez les critères de recherche si nécessaire.

Recherchez les messages de journal correspondant aux cas où FireCloud a refusé le trafic d'un hôte de destination quelconque :

dst_host:* AND disp:deny*

Recherchez les messages de journal correspondant aux cas où FireCloud a refusé le trafic de l'utilisateur [email protected] :

wgc_client_id:[email protected] AND disp:deny

Recherchez les messages de journal où le nom de la règle d'accès est Default (Par Défaut) et l'adresse IP de destination n'est pas 8.8.8.8 :

policy:Default AND NOT dst_ip:8.8.8.8

Lorsque les résultats de recherche sont trop volumineux, WatchGuard Cloud ne les retourne pas. Réduisez la période ou saisissez des critères de recherche plus spécifiques.

Rubriques Connexes

Log Manager (WatchGuard Cloud)

Configurer les Règles de Notification de FireCloud

À Propos du Rapport d'Utilisation de FireCloud

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.