Log Search (WatchGuard Cloud)

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema trifft auf Fireboxen zu, die Sie in WatchGuard Cloud konfigurieren., Lokal verwaltete Fireboxen Dieses Thema trifft auf Fireboxen zu, die Sie im Policy Manager oder in der Fireware Web UI konfigurieren.

Auf der Seite Log Search von WatchGuard Cloud für ein Gerät oder einen Ordner können Sie einfache oder komplexe Suchanfragen erstellen, um bestimmte Details in den Protokollmeldungen zu finden. Die Log Search verwendet die WatchGuard Query Language, um in WatchGuard Cloud gespeicherte Protokollmeldungen zu durchsuchen. Nachdem Sie eine Suche durchgeführt haben, können Sie die Suchergebnisse in eine Datei exportieren, die Sie zur späteren Verwendung außerhalb von WatchGuard Cloud speichern können.

Führen Sie eine Suche über die Seite Log Search aus

Fireboxen können verschiedene Arten von Protokollmeldungen für Ereignisse senden, die auf der Firebox auftreten. Die Arten von Protokollmeldungen sind Datenverkehr, Alarm, Ereignis, Debug und Statistik. Informationen zu den Arten von Protokollmeldungen finden Sie unter Types of Log Messages.

WatchGuard Cloud speichert von einer Firebox gesendete Diagnoseprotokollmeldungen, die jedoch weder im Log Manager noch in der Log Search (WatchGuard Cloud) sichtbar sind. Wenn Sie ein Problem beheben müssen, können Sie diese Diagnoseprotokollmeldungen beim technischen Support von WatchGuard anfordern.

In Fireware ab v12.5.4 sendet die Firebox nur dann Diagnoseprotokollmeldungen an WatchGuard Cloud, wenn der Support-Zugriff aktiviert ist. Weitere Informationen finden Sie unter Enable Support Access.

So durchsuchen Sie Protokollmeldungen in WatchGuard Cloud:

1. Melden Sie sich bei WatchGuard Cloud an.
2. Wählen Sie Überwachen > Geräte.
   
3. Wählen Sie einen Ordner oder ein Gerät.
4. Um den Datumsbereich für Protokollmeldungen auszuwählen, klicken Sie auf .

5. Wählen Sie in der Liste der Berichte den Befehl Protokolle > Log Search.
   Die Seite Log Search wird für das ausgewählte Gerät geöffnet.

   

6. Um festzulegen, welche Arten von Protokollmeldungen in die Suche einbezogen werden sollen, wählen Sie in der Dropdown-Liste rechts auf der Seite die Art der Protokollmeldung aus (Datenverkehr-Protokolle, Alarmprotokolle, Ereignisprotokolle oder Statistikprotokolle). Um alle Arten von Protokollmeldungen zu suchen, wählen Sie Alle Protokolle.
7. Um eine kürzliche Suche zu wiederholen, klicken Sie im Abschnitt Kürzliche Log Searches auf eine Abfrage.
8. Geben Sie im Textfeld Suche den Namen eines Protokollmeldungsfelds gefolgt von einem Doppelpunkt ein oder klicken Sie auf , um einen Feldnamen aus einer Liste auszuwählen.
9. Geben Sie nach dem Feldnamen den Text der Suchabfrage ein.
   Um nach einem Wortteil zu suchen, geben Sie als Platzhalter * am Ende des Wortteils ein. Weitere Informationen zum Erstellen einer Abfrage finden Sie unter WatchGuard Query Language.

Ihre Abfrage kann jeden beliebigen Feldnamen enthalten, der in einer Firebox-Protokollmeldung erscheint. Weitere Informationen über einige der von Ihrer Firebox erzeugten Protokollmeldungen finden Sie im WatchGuard Log Catalog auf der Seite Produktdokumentation.

WatchGuard Cloud unterstützt keine Platzhalter bei der Suche über alle Felder und Arten von Protokollmeldungen hinweg. Sie müssen einen Protokollmeldungstyp wählen und einen Feldnamen angeben, wenn Sie einen Platzhalter verwenden möchten.

10. Um die Suche zu starten, drücken Sie Eingabe oder klicken Sie auf .
    Die Seite wird aktualisiert, um die Protokollmeldungen für das gewählte Gerät bzw. die gewählten Geräte anzuzeigen, die Ihrer Suchabfrage entsprechen. Falls Sie einen Ordner gewählt haben, wird in den Ergebnissen eine Spalte für das Gerät angezeigt. Falls Sie einen FireCluster gewählt haben, werden in den Ergebnissen Spalten für Gerät und Seriennummer angezeigt.

Wenn die Suchkriterien zu weit gefasst sind, werden nach 30 Sekunden Teilergebnisse angezeigt. Sie müssen den Zeitraum verkleinern oder spezifischere Suchkriterien eingeben.

Falls Sie ein Datum oder einen Datumsbereich mit Protokollmeldungen gewählt haben, die älter als 10 Tage sind, wird eine Benachrichtigungsmeldung angezeigt. Um eine Benachrichtigung zu erhalten, wenn die Suche abgeschlossen ist, klicken Sie auf Benachrichtigung senden.

Firebox-Protokollmeldungen

Firebox-Protokollmeldungen bestehen aus einer Reihe von durch Kommas getrennten Feldern. Jedes Feld enthält spezifische Informationen über ein Ereignis und kann einen Feldnamen und einen Wert enthalten. Weitere Informationen zu Firebox-Protokollmeldungen finden Sie unter Read a Log Message.

In den Suchergebnissen der Protokollsuche von WatchGuard Cloud könnte eine Protokollmeldung zum Beispiel so aussehen:

FWAllowEnd, disp=Allow, pri=6, policy=Any From Firebox-00, protocol=dns/udp, src_ip=127.0.0.1, src_port=57844, dst_ip=124.0.0.1, dst_port=53, src_intf=Firebox, rc=106, duration=180, rcvd_bytes=410, sent_bytes=156, 3000-0151

In einer Protokollmeldung werden Feldnamen und Werte durch Gleichheitszeichen (=) getrennt. In einer Protokollsuche werden Feldnamen und Werte durch einen Doppelpunkt (:) getrennt.

WatchGuard Query Language

Mit der WatchGuard Query Language können Sie einfache oder komplexe Suchen in Ihren Firebox-Protokollmeldungen durchführen. Das beste Ergebnis erzielen Sie, wenn Sie einen Feldnamen angeben, der in einer Firebox-Protokollmeldung angezeigt wird. Um den Feldnamen aus einer Liste auszuwählen, klicken Sie im Suchtextfeld auf .

Ihre Abfrage kann Folgendes beinhalten:

• Feldnamen — Geben Sie den Feldnamen ein, der in der Firebox-Protokollmeldung angezeigt wird. Dies ist bei einer Firebox mit Basic Security Suite für alle Suchen erforderlich. Es ist auch bei einer Firebox mit Total Security Suite für Suchen erforderlich, die Protokolle beinhalten, die älter als 10 Tage sind.
• Suchbegriffe — Nachdem Sie einen Feldnamen eingegeben oder ausgewählt haben, geben Sie die Werte an, nach denen gesucht werden soll.
• Platzhalter — Entspricht einer beliebigen Anzahl von Zeichen. Sie müssen den Platzhalter * verwenden, um nach einem Teilwort in den Protokollmeldungen zu suchen.
• Operatoren — Bestimmen, wie die einzelnen Suchbegriffe die Suche ausweiten oder einschränken.
• Klammern — Bestimmen die Reihenfolge der Operationen in einer Abfrage, die mehrere Operatoren enthält.

Die folgenden Abschnitte erläutern diese Elemente genauer.

Feldnamen

Wir empfehlen dringend, dass Ihre Abfrage einen Feldnamen enthält, der in einer Firebox-Protokollmeldung angezeigt wird. Falls Ihre Suche Protokollmeldungen beinhaltet, die älter als 10 Tage sind, oder falls Sie nach Protokollmeldungen von einer Firebox mit Basic Security Suite suchen und Sie keinen Feldnamen angegeben haben, wird eine Liste vorgeschlagener Feldnamensuchen auf der Seite angezeigt.

Die verfügbaren Feldnamen hängen von der von Ihnen gewählten Art von Protokollmeldung ab. Um eine vollständige Liste verfügbarer Feldnamen für den gewählten Protokolltyp zu sehen, klicken Sie im Suchtextfeld auf .

Suchbegriffe

Ihre Suche kann einen oder mehrere Suchbegriffe enthalten.

• Bei Suchbegriffen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Ihre Abfrage beispielsweise Benutzer1 angibt, könnten die Suchergebnisse sowohl Protokollmeldungen mit dem Text benutzer1 als auch Benutzer1 enthalten.
• Wenn Ihr Suchbegriff ein Leerzeichen enthält, wird das Leerzeichen als Teil des zu suchenden Textes betrachtet.
• Sie müssen den Platzhalter * verwenden, um ein Teilwort in den Protokollmeldungen zu finden. Um beispielsweise Protokollmeldungen von einem Benutzer zu finden, dessen Name mit einem "A" beginnt, suchen Sie nach "src_user:a*".
• Um die besten Ergebnisse zu erzielen, sollte jeder Suchbegriff einen Feldnamen und einen Wert enthalten. Geben Sie den Feldnamen und den zu suchenden Wert an. Feldnamen werden immer kleingeschrieben. Zum Beispiel: src_ip:10.0.10.1.
• Falls Ihre Abfrage mit spezifischen Begriffen wie "bovpn", "ssl", "auth", "virus" oder "ips" keine Treffer aufweist, suchen Sie diese Ereignisse als Teil der Nachricht. Um beispielsweise "auth"-Ereignisse in einer Nachricht zu finden, suchen Sie nach msg:*auth*. Weitere Beispiele finden Sie unter Beispiel-Abfragen.

Platzhalter

Die Suchbegriffe unterstützen den Platzhalter *, der auf eine beliebige Anzahl von Zeichen in einem Feld einer Protokollmeldung passt.

• Bei Suchbegriffen nach Begriffen ohne Feldnamen werden nur zentrale und nachgestellte Platzhalter unterstützt. Führende Wildcards werden nicht unterstützt.
• Suchbegriffe, die einen Feldnamen enthalten, unterstützen führende, zentrale und abschließende Wildcards.
• Die gesamte Suche kann bis zu vier Platzhalter enthalten.

Operatoren

In Ihrer Abfrage können Sie ein oder mehrere zu suchende Elemente angeben, die durch einen dieser Operatoren getrennt sind:

• OR — Erweitert die Suche. Zu den Suchergebnissen gehören Protokollmeldungen, die eines oder beide Elemente enthalten.
• AND — Schränkt die Suche ein. In den Suchergebnissen sind nur Protokollmeldungen enthalten, die beide Elemente enthalten.
• NOT — Schränkt die Suche ein. Die Suchergebnisse enthalten die Protokollmeldungen nicht, in denen dieser Begriff enthalten ist. Wenn dies nicht der erste Begriff in der Suche ist, müssen Sie ihm ein AND oder OR voranstellen.

Die Operatoren für die Suche müssen in Großbuchstaben geschrieben werden.

Klammern

In einer Abfrage mit mehreren Operatoren können Sie Klammern verwenden, um Elemente zu gruppieren, die Sie zuerst auswerten möchten. Sie können eine Ebene von Klammern verwenden, um Elemente innerhalb einer Abfrage zu gruppieren. Zum Beispiel: disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Beispiel-Abfragen

Beginnen Sie beim Erstellen einer Suche mit einfachen Teilabfragen und erweitern Sie dann bei Bedarf die Suchkriterien.

Der Filter für den Typ der Protokollmeldung ist standardmäßig auf Datenverkehr-Protokolle eingestellt. Um alle Protokollmeldungen zu durchsuchen, wählen Sie Alle Protokolle.

Suche nach einer FQDN in Protokollmeldungen:

dstname:www.example.net

Suche nach Ereignisprotokollmeldungen, bei denen das Feld msg: ein Virus-Ereignis enthält:

msg:*virus*​

Suche nach Ereignisprotokollmeldungen mit einem Ereignis SSL-VPN-Authentifizierung:

msg:auth*​

Suche nach Ereignisprotokollmeldungen, bei denen das Feld msg: ein Ereignis BOVPN Up oder Down (Rekey) enthält:

msg:*bovpn*​

Suche nach Ereignisprotokollmeldungen, deren Wert im Feld msg: mit DHCPbeginnt:

msg:DHCP*

Suche nach Ereignisprotokollmeldungen, deren Wert im Feld msg: mit DHCP beginnt und die MAC-Adresse ac:00:bb:cc:dd:ee enthält

msg:DHCP*ac:00:bb:cc:dd:ee*

Suche nach Protokollmeldungen mit APT-Ereignissen:

msg:APT*

Suche nach Protokollmeldungen, bei denen der Name der Regel mit outgoing beginnt:

policy:outgoing*

Suche nach Protokollmeldungen, bei denen der Name der Regel Unhandled External Packet-00 lautet:

policy:unhandled external packet-00

Suchen Sie nach Protokollmeldungen, bei denen der Name der Regel mit unhandled beginnt und die Ziel-IP-Adresse nicht 255.255.255.255 lautet:

policy:unhandled* AND NOT dst_ip:255.255.255.255

Suche nach Protokollmeldungen, die den exakten Wert http/tcp oder https/tcp im Protokollfeld enthalten:

http/tcp ODER https/tcp

Suche nach Protokollmeldungen, bei denen die Quell-IP-Adresse 10.0.2.1 lautet:

src_ip:10.0.2.1

Suche nach Protokollmeldungen, bei denen sich die Quell-IP-Adresse im Netzwerk 10.168.150.0/24 befindet:

src_ip:>10.168.150.0 AND src_ip:<10.168.150.255

Suche nach Protokollmeldungen, bei denen sich die Quell-IP-Adresse in den Netzwerken 10.0.2.0/24 oder 10.0.1.0/24 befindet und der FQDN des Ziels Microsoft lautet:

dstname:microsoft* AND (src_ip:10.0.2.* OR src_ip:10.0.1.*)

Wenn die Trefferliste zu umfangreich ist, gibt WatchGuard Cloud keine Ergebnisse zurück. Sie sollten den Zeitraum verkleinern oder spezifischere Suchkriterien eingeben.

Suchergebnisse exportieren

Nachdem Ihre Suche abgeschlossen ist, können Sie die Suchergebnisse in eine .CSV-Datei exportieren, die Sie als .ZIP-Datei herunterladen können. Die .ZIP-Datei enthält die .CSV-Datei mit den Suchergebnissen und eine Textdatei mit den Suchparametern.

Die .CSV-Datei kann bis zu 20.000 Protokollmeldungen enthalten. Die Zeitzone, die in der .CSV-Datei angezeigt wird, ist die lokale Zeit auf dem Client Computer, nicht die UTC-Zeit.

So exportieren Sie Suchergebnisse von der Seite Log Search:

1. Klicken Sie oberhalb des Abschnitts mit den Suchparametern auf das CSV-Symbol .
2. Wenn die Datei nicht automatisch heruntergeladen wird, wählen Sie die Option zum Öffnen oder Speichern der Datei.

Related Topics

Log Manager (WatchGuard Cloud)

WatchGuard Cloud-Geräteberichte Liste