Acerca de WatchGuard Log Server
WatchGuard Log Server es un componente de WatchGuard Server Center. Es una base de datos local que puede recolectar los datos de los mensajes de registro de cada Firebox o servidor WatchGuard conectado. Puede instalar el WatchGuard Log Server en el equipo de administración o en un equipo diferente. También puede agregar Log Servers adicionales por respaldo y escalabilidad. Para hacer eso, use el programa de instalación del WatchGuard System Manager (WSM) y seleccione instalar sólo el componente del Log Server. Para obtener más información sobre la instalación, consulte Configurar el Log Server.
Datos de Mensajes de Registro
Un Log Server recibe información en los puertos TCP 4107 y 4115. Cada Firebox que conecta al primer Log Server envía su nombre, número de serie, zona horaria y versión del software y, después, envía los datos de registro cuando se producen nuevos eventos. La información que los Fireboxes envían incluye mensajes de registro de estadísticas de tráfico, alarma, evento, depuración y desempeño. El número de serie (SN) de Firebox se utiliza para identificar de forma exclusiva el Firebox en la base de datos del Log Server. Aunque los mensajes de registro enviados a su Log Server pueden surgir de muchas zonas horarias, el Log Server almacena todos los mensajes de registro en formato UTC.
Procesos
El Log Server usa varios procesos y módulos para recoger y almacenar datos de mensaje de registro.
- wlcollector.exe es el proceso de recolección de registros que ejecuta dos módulos:
- ap_collector obtiene los registros del Firebox y los coloca en la base de datos de Log Server.
- ap_notify obtiene las alarmas del Firebox y envía el tipo de notificaciones que usted selecciona.
Formato de Datos
Los mensajes de registro se envían al WatchGuard Log Server en XML (texto sin formato) y se cifran mientras están en tránsito con una conexión SSL (AES 256-bit). Esos datos de registro no están cifrados mientras están almacenados en la base de datos del Log Server.
Después que su Log Server haya recolectado los datos de registro de sus Firebox, puede usar el WatchGuard Report Server para consolidar periódicamente los datos y generar informes.
Cifrado
Cuando el Report Server obtiene datos del Log Server, esos datos de mensajes de registro se envían mediante una conexión SSL cifrada (AES 256-bit).
Para obtener más información acerca de Report Server, consulte Acerca del Report Server.
Archivos de Registro
WatchGuard Log Server usa los archivos wlcollector.log y ap_collector.log para almacenar información acerca de las conexiones de Firebox y base de datos. Esa información incluye errores de autenticación, discordancias entre desafío y respuesta, y errores de acceso a base de datos.
Esos archivos son almacenados en este directorio de forma predeterminada:
C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
Bases de Datos de Log Server
La información de registro se almacena en la base de datos PostgreSQL. El Log Server usa instancias múltiples de base de datos PostgreSQL para administrar su base de datos global. Cada instancia de la base de datos PostgreSQL aparece en el Administrador de tareas del Windows como un proceso PostgreSQL separado.
Cada Log Server tiene cuatro tablas principales de base de datos que almacenan los mensajes de registro para todos los Fireboxes. El Log Server crea particiones de tamaño fijo para almacenar la información de registro. Para modificar manualmente los contenidos de la base de datos del Log Server, puede usar el aviso de comando PostgreSQL o una aplicación de terceros, como pgadmin.
Cuando un Firebox se conecta al Log Server por primera vez, éste actualiza la base de datos global con la información acerca del nuevo Firebox. Los mensajes de registro de cada Firebox se envían a una de las cuatro tablas de base de datos del Log Server. Los datos en estas tablas se utilizan cuando se miran los archivos de registro o cuando se crea un informe en el WebCenter de WatchGuard.
Los informes generados por un WatchGuard Report Server se almacenan como archivos XML en este directorio:
C:\ProgramData\WatchGuard\wrserver\reports\
Desempeño y Espacio en Disco
Puede configurar un máximo de 100 Firebox para enviar información de registro a un solo Log Server. No obstante, el número exacto de Firebox que puede conectar a su Log Server depende del tamaño y la velocidad de sus discos duros, la cantidad de RAM disponible, el número de procesadores y el volumen de tráfico de registro que cada Firebox conectado envía al Log Server. Puede aumentar enormemente el desempeño de su Log Server si añade un disco duro más rápido, más memoria y otro procesador.
Puede configurar el Log Server para eliminar automáticamente antiguos mensajes de registro de la base de datos. Cuando configura un Log Server por primera vez, recomendamos que calcule cuánto espacio en disco se usa en un día promedio. Estime cuántos días de mensajes de registro puede guardar antes que la base de datos ocupe demasiado espacio en disco, después altere las configuraciones para que coincidan con ese intervalo de tiempo. Cuando los mensajes de registro son removidos de la base de datos, el espacio en disco es reutilizado cuando se crean nuevas entradas de registro.
El utilitario reindexdb reconstruye los índices en una o más tablas de base de datos PostgreSQl para mejor desempeño. Ese utilitario debería ser ejecutado sólo por recomendación de un representante de Soporte de WatchGuard.
Log Manager y Report Manager
Puede usar las páginas Log Manager y Report Manager de la WebCenter Web UI interactiva de WatchGuard para ver los detalles en sus archivos de registro, ver informes generados desde sus Firebox y servidores WatchGuard y generar informes a pedido. Puede desplazarse por los datos de cualquier informe para ver la información detallada incluida allí. Cada informe incluye enlaces a los detalles de informes relacionados.
Para más información, consulte Ver Mensajes de registro e Informes en WebCenter, Ver Mensajes de Registro de Dispositivo en WebCenter y Ver Informes en Report Manager.
Ver También
Inicio Rápido — Configurar la Generación de Registros en un Log Server WSM