Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Auf der Seite Log Search von WatchGuard Cloud für ein Gerät oder einen Ordner können Sie einfache oder komplexe Suchanfragen erstellen, um bestimmte Details in den Protokollmeldungen zu finden. Die Log Search verwendet die WatchGuard Query Language, um in WatchGuard Cloud gespeicherte Protokollmeldungen zu durchsuchen. Nachdem Sie eine Suche durchgeführt haben, können Sie die Suchergebnisse in eine Datei exportieren, die Sie zur späteren Verwendung außerhalb von WatchGuard Cloud speichern können.
Führen Sie eine Suche über die Seite Log Search aus
Fireboxen können verschiedene Arten von Protokollmeldungen für Ereignisse senden, die auf der Firebox auftreten. Die Arten von Protokollmeldungen sind Datenverkehr, Alarm, Ereignis und Statistik. Informationen zu den Arten von Protokollmeldungen finden Sie im WatchGuard Log Catalog, der auf der Firebox-Dokumentationsseite verfügbar ist.
WatchGuard Cloud speichert von einer Firebox gesendete Diagnoseprotokollmeldungen, die jedoch weder im Log Manager noch in der Log Search (WatchGuard Cloud) sichtbar sind. Wenn Sie ein Problem beheben müssen, können Sie diese Diagnoseprotokollmeldungen beim technischen Support von WatchGuard anfordern.
In Fireware ab v12.5.4 sendet die Firebox nur dann Diagnoseprotokollmeldungen an WatchGuard Cloud, wenn der Support-Zugriff aktiviert ist. Weitere Informationen finden Sie unter .
So durchsuchen Sie Protokollmeldungen in WatchGuard Cloud:
- Melden Sie sich bei WatchGuard Cloud an.
- Wählen Sie Überwachen > Geräte.
- Wählen Sie einen Ordner oder ein Gerät.
- Um den Datumsbereich für Protokollmeldungen auszuwählen, klicken Sie auf
.
-
Wählen Sie in der Liste der Berichte den Befehl Protokolle > Log Search.
Die Seite Log Search wird für das ausgewählte Gerät geöffnet.
- Um festzulegen, welche Arten von Protokollmeldungen in die Suche einbezogen werden sollen, wählen Sie in der Dropdown-Liste rechts auf der Seite den Typ der Protokollmeldung aus. Um alle Arten von Protokollmeldungen zu suchen, wählen Sie Alle Protokolle.
- Geben Sie im Textfeld Suche die Suchanfrage ein. Um einen Feldnamen für eine Protokollmeldung aus einer Liste auszuwählen, geben Sie ein Leerzeichen ein oder klicken Sie auf
. Um nach einem Teilbegriff zu suchen, müssen Sie den Platzhalter * am Ende des Teilworts einfügen. Weitere Informationen zum Erstellen einer Abfrage finden Sie unter WatchGuard-Abfragesprache.
Die Dropdown-Liste der Felder enthält nicht alle Felder, die in einer Protokollmeldung erscheinen könnten. Ihre Abfrage kann jeden beliebigen Feldnamen enthalten, der in einer Firebox-Protokollmeldung erscheint.
WatchGuard Cloud unterstützt nicht die Suche über alle Felder und alle Protokolle mit Wildcards. Sie müssen einen Protokollmeldungs-Typ und ein Feld auswählen, wenn Sie einen Platzhalter verwenden möchten.
- Um die Suche zu starten, drücken Sie Eingabe oder klicken Sie auf
.
Die Seite wird aktualisiert, um die Protokollmeldungen anzuzeigen, die Ihrer Suchanfrage entsprechen. Laufzeiten, die der Suchanfrage entsprechen, sind fett gedruckt. Wenn die Suchkriterien zu weit gefasst sind, werden nach 30 Sekunden Teilergebnisse angezeigt. Sie müssen den Zeitraum verkleinern oder spezifischere Suchkriterien eingeben.
Firebox-Protokollmeldungen
Firebox-Protokollmeldungen bestehen aus einer Reihe von durch Kommas getrennten Feldern. Jedes Feld enthält spezifische Informationen über ein Ereignis und kann einen Feldnamen und einen Wert enthalten. Weitere Informationen zu Firebox-Protokollmeldungen finden Sie unter .
In den Suchergebnissen der Protokollsuche von WatchGuard Cloud könnte eine Protokollmeldung zum Beispiel so aussehen:
FWDeny, Denied, disp=Deny, pri=4, policy=Unhandled External Packet-00, protocol=25536/udp, src_ip=192.168.41.58, src_port=25536, dst_ip=255.255.255.255, dst_port=25536, src_intf=0-External, dst_intf=Firebox, rc=101, pckt_len=208, ttl=128, 3000-0148
In einer Protokollmeldung werden Feldnamen und Werte durch Gleichheitszeichen (=) getrennt. In einer Protokollsuche werden Feldnamen und Werte durch einen Doppelpunkt (:) getrennt.
WatchGuard-Abfragesprache
Mit der WatchGuard-Abfragesprache können Sie einfache oder komplexe Suchen in Ihren Firebox-Protokollmeldungen durchführen. Ihre Abfrage kann Folgendes beinhalten:
- Suchbegriffe — Geben Sie die zu durchsuchenden Felder und die Werte an, nach denen gesucht werden soll.
- Platzhalter — Entspricht einer beliebigen Anzahl von Zeichen. Sie müssen den Platzhalter * verwenden, um nach einem Teilwort in den Protokollmeldungen zu suchen.
- Operatoren — Bestimmen, wie die einzelnen Suchbegriffe die Suche ausweiten oder einschränken.
- Klammern — Bestimmen die Reihenfolge der Operationen in einer Abfrage, die mehrere Operatoren enthält.
In den folgenden Abschnitten wird jeder dieser Punkte näher erläutert.
Suchbegriffe
Ihre Suche kann einen oder mehrere Suchbegriffe enthalten.
- Bei Suchbegriffen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Ihre Abfrage beispielsweise Benutzer1 angibt, könnten die Suchergebnisse sowohl Protokollmeldungen mit dem Text benutzer1 als auch Benutzer1 enthalten.
- Wenn Ihr Suchbegriff ein Leerzeichen enthält, wird das Leerzeichen als Teil des zu suchenden Textes betrachtet.
- Sie müssen den Platzhalter * verwenden, um ein Teilwort in den Protokollmeldungen zu finden. Um zum Beispiel Protokollmeldungen über einen Virusnamen zu finden, der mit "eicar" beginnt, suchen Sie nach "virus:eicar*".
- Alle Suchbegriffe unterstützen die CIDR-Notation, um IP-Adressen in einem Netzwerk abzugleichen. Sie können zum Beispiel 10.0.1.0/24 angeben, um Protokollmeldungen zu finden, die eine IP-Adresse in diesem Netzwerk enthalten.
- Jeder Suchbegriff kann ein einzelner Wert sein oder einen Feldnamen und einen Wert enthalten.
- Um einen Wert in einem beliebigen Protokollmeldungsfeld zu finden, geben Sie den Wert ohne Feldnamen an. Zum Beispiel: http*.
- Um einen Wert in einem bestimmten Protokollmeldungsfeld zu suchen, geben Sie den Namen des Feldes und den zu suchenden Wert an. Feldnamen werden immer kleingeschrieben. Zum Beispiel: src_ip:10.0.10.1.
Platzhalter
Die Suchbegriffe unterstützen den Platzhalter *, der auf eine beliebige Anzahl von Zeichen in einem Feld einer Protokollmeldung passt.
- Bei Suchbegriffen nach Begriffen ohne Feldnamen werden nur zentrale und nachgestellte Platzhalter unterstützt. Führende Wildcards werden nicht unterstützt.
- Suchbegriffe, die einen Feldnamen enthalten, unterstützen führende, zentrale und abschließende Wildcards.
- Die gesamte Suche kann bis zu vier Platzhalter enthalten.
Operatoren
In Ihrer Abfrage können Sie ein oder mehrere zu suchende Elemente angeben, die durch einen dieser Operatoren getrennt sind:
- OR — Erweitert die Suche. Zu den Suchergebnissen gehören Protokollmeldungen, die eines oder beide Elemente enthalten.
- AND — Schränkt die Suche ein. In den Suchergebnissen sind nur Protokollmeldungen enthalten, die beide Elemente enthalten.
- NOT — Schränkt die Suche ein. Die Suchergebnisse enthalten die Protokollmeldungen nicht, in denen dieser Begriff enthalten ist. Wenn dies nicht der erste Begriff in der Suche ist, müssen Sie ihm ein AND oder OR voranstellen.
Die Operatoren für die Suche müssen in Großbuchstaben geschrieben werden.
Klammern
In einer Abfrage mit mehreren Operatoren können Sie Klammern verwenden, um Elemente zu gruppieren, die Sie zuerst auswerten möchten. Sie können eine Ebene von Klammern verwenden, um Elemente innerhalb einer Abfrage zu gruppieren. Zum Beispiel: disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)
Escape-Sonderzeichen
Die WatchGuard Query Language-Syntax verwendet den Doppelpunkt (:) zum Trennen von Feldnamen und Werten. Um einen Wert, z. B. eine MAC-Adresse, anzugeben, der einen Doppelpunkt enthält, stellen Sie jedem Doppelpunkt einen Backslash (\) voran. Zum Beispiel: mac:ac\:00\:bb\:cc\:dd\:ee
Beispiel-Abfragen
Der Filter für den Typ der Protokollmeldung ist standardmäßig auf Datenverkehr-Protokolle eingestellt. Um alle Protokollmeldungen zu durchsuchen, wählen Sie Alle Protokolle.
Suche nach Ereignisprotokollmeldungen, deren Wert im Feld msg: mit DHCPbeginnt:
msg:DHCP*
Ereignisprotokollmeldungen finden, bei denen ein Feldwert mit dem Text DHCP beginnt und die MAC-Adresse ac\:00\:bb\:cc\:dd\:ee enthält
DHCP*ac\:00\:bb\:cc\:dd\:ee*
Suche nach Protokollmeldungen, bei denen ein Wert in einem beliebigen Feld mit DNS beginnt:
DNS*
Suche nach Protokollmeldungen, bei denen der Name der Regel mit outgoing beginnt:
policy:outgoing*
Suche nach Protokollmeldungen, bei denen der Wert des Feldes mac: mit ac:00:bb:cc beginnt:
mac:ac\:00\:bb\:cc*
Suche nach Protokollmeldungen, bei denen der Name der Regel Unhandled External Packet-00 lautet:
policy:unhandled external packet-00
Suchen Sie nach Protokollmeldungen, bei denen der FQDN-Name mit watch beginnt und mit .com endet:
fqdn_dst_match:watch*.com
Suchen Sie nach Protokollmeldungen, bei denen der Name der Regel mit unhandled beginnt und die Ziel-IP-Adresse nicht 255.255.255.255 lautet:
policy:unhandled* AND NOT dst_ip:255.255.255.255
Suche nach Protokollmeldungen, die in einem beliebigen Feld genau den Wert http/tcp oder https/tcp enthalten:
http/tcp OR https/tcp
Suche nach Protokollmeldungen, bei denen die Quell-IP-Adresse 10.0.2.1 lautet und der Name der Anwendung den Wert google enthält:
src_ip:10.0.2.1 AND app_name:*google*
Suchen nach Protokollmeldungen, bei denen ein beliebiger Wert eines Feldes mit dem Text microsoft beginnt und die Quell-IP-Adresse in den Netzwerken 10.0.2.0/24 oder 10.0.1.0/24 liegt:
microsoft* AND (src_ip:10.0.2.0/24 OR src_ip:10.0.1.0/24)
Suchergebnisse exportieren
Nachdem Ihre Suche abgeschlossen ist, können Sie die Suchergebnisse in eine CSV-Datei exportieren, die Sie als ZIP-Datei herunterladen können. Die ZIP-Datei enthält die CSV-Datei mit den Suchergebnissen und eine Textdatei mit den Suchparametern.
So exportieren Sie Suchergebnisse von der Seite Log Search:
- Klicken Sie oberhalb des Abschnitts mit den Suchparametern auf das CSV-Symbol
. - Wenn die Datei nicht automatisch heruntergeladen wird, wählen Sie die Option zum Öffnen oder Speichern der Datei.