Se aplica A: Fireboxes administrados en la nube, Fireboxes administrados localmente
En la página Log Search (Búsqueda de Registros) de WatchGuard Cloud para un dispositivo o carpeta, puede crear consultas de búsqueda simples o complejas a fin de encontrar detalles específicos en los mensajes de registro. Log Search utiliza WatchGuard Query Language para buscar mensajes de registro almacenados en WatchGuard Cloud. Después de ejecutar una búsqueda, puede exportar los resultados de esta a un archivo y guardarlo para uso posterior fuera de WatchGuard Cloud.
Realizar una Búsqueda desde la Página Log Search
Los Fireboxes pueden enviar varios tipos de mensajes de registro para eventos que ocurren en el Firebox. Los tipos de mensajes de registro son Tráfico, Alarma, Evento, Depurar y Estadística.Para obtener información sobre los tipos de mensajes de registro, consulte Tipos de Mensajes de Registro.
WatchGuard Cloud almacena los mensajes de registro de diagnóstico enviados por un Firebox, pero no son visibles en Log Manager ni en Log Search. Si necesita resolver un problema, puede solicitar estos mensajes de registro de diagnóstico al Soporte Técnico de WatchGuard.
En Fireware v12.5.4 y superior, el Firebox envía mensajes de registro de diagnóstico a WatchGuard Cloud solo cuando Acceso de Soporte está habilitado. Para más información, consulte Habilitar Ayuda al Acceso.
Para buscar mensajes de registro en WatchGuard Cloud:
- Inicie sesión en WatchGuard Cloud.
- Seleccione Monitorizar > Dispositivos.
- Seleccione una carpeta o un dispositivo.
- Para seleccionar el intervalo de fechas para los mensajes de registro, haga clic en
.
En la lista de informes, seleccione Registros > Log Search.
Se abre la página Log Search para el dispositivo seleccionado.
- Para especificar qué tipo de mensajes de registro incluir en la búsqueda, en la lista desplegable que se encuentra del lado derecho de la página, seleccione el tipo de mensaje de registro (Registros de Tráfico, Registros de Alarmas, Registros de Eventos o Registros Estadísticos). Para buscar todos los tipos de mensajes de registro, seleccione Todos los Registros.
- Para repetir una búsqueda reciente, en la sección Búsquedas Recientes de Registros, haga clic en una consulta.
- En el cuadro de texto Buscar, ingrese el nombre de un campo de mensaje de registro seguido por dos puntos, o para seleccionar un nombre de campo de la lista, haga clic en
. - Después del nombre del campo, ingrese el texto de la consulta de búsqueda.
Para buscar una palabra parcial, debe incluir el comodín * al final de la palabra parcial. Para más información acerca de cómo crear una consulta, vea WatchGuard Query Language.
Su consulta puede incluir cualquier nombre de campo que se muestre en un mensaje de registro de Firebox. Para obtener más información sobre los mensajes de registro generados por su Firebox, consulte el apartado Catálogo de Registros de WatchGuard, disponible en la página de Documentación del Producto.
WatchGuard Cloud no admite búsquedas con comodines en todos los campos y en todos los tipos de mensajes de registro. Si desea utilizar un comodín, deberá seleccionar un tipo de mensaje de registro e incluir un nombre de campo.
- Para ejecutar la búsqueda, presione Enter o haga clic en
.
La página se actualiza para mostrar los mensajes de registro del dispositivo o los dispositivos seleccionados que coinciden con su consulta de búsqueda. Si seleccionó una carpeta, se muestra una columna Dispositivo en los resultados. Si seleccionó un FireCluster, las columnas Dispositivo y Número de Serie se muestran en los resultados.
Si los criterios de búsqueda son demasiado amplios, después de 30 segundos, se muestran resultados parciales. Debe reducir el rango de tiempo o ingresar criterios de búsqueda más específicos.
Si selecciona una fecha o intervalo de fechas que incluye mensajes de registro de hace más de 10 días, aparece un mensaje de notificación. Para recibir una notificación cuando finalice la búsqueda, haga clic en Notificarme.
Mensajes de Registro del Firebox
Los mensajes de registro del Firebox consisten de varios campos separados por comas. Cada campo contiene información específica sobre un evento y puede incluir un nombre de campo y un valor. Para obtener más información sobre los mensajes de registro de Fireboxes, consulte Leer un Mensaje de Registro.
Por ejemplo, en los resultados de Log Search de WatchGuard Cloud, un mensaje de registro podría ser así:
FWAllowEnd, disp=Allow, pri=6, policy=Any From Firebox-00, protocol=dns/udp, src_ip=127.0.0.1, src_port=57844, dst_ip=124.0.0.1, dst_port=53, src_intf=Firebox, rc=106, duration=180, rcvd_bytes=410, sent_bytes=156, 3000-0151
En un mensaje de registro, los nombres y los valores de los campos están separados por un signo igual (=). En una consulta de Log Search, se usan dos puntos (:) para separar los nombres y valores de los campos.
WatchGuard Query Language
Puede usar el WatchGuard Query Language para crear búsquedas simples o complejas de sus mensajes de registro de Firebox. Para tener mejores resultados, incluya un nombre de campo que se muestre en un mensaje de registro del Firebox.Para seleccionar el nombre de campo de una lista, en el cuadro de texto de búsqueda haga clic en .
Su consulta puede incluir lo siguiente:
- Nombres de campos — Especifique el nombre de campo que se muestra en el mensaje de registro del Firebox. Este es requerido para todas las búsquedas de un Firebox con Basic Security Suite. También es requerido para búsquedas de un Firebox con Total Security Suite que incluya registros de hace más de 10 días.
- Términos de búsqueda — Después de escribir o seleccionar un nombre de campo, especifique los valores que desea buscar.
- Comodines — Iguala cualquier cantidad de caracteres. Debe usar el comodín * para buscar una palabra parcial en los mensajes de registro.
- Operadores — Especifique cómo cada término de búsqueda expande o restringe la búsqueda.
- Paréntesis — Especifica el orden de las operaciones en una consulta que contiene múltiples operadores.
Las siguientes secciones explican estos elementos con mayor detalle.
Nombres de Campos
Recomendamos que su consulta incluya un nombre de campo que se muestre en un mensaje de registro del Firebox. Si su búsqueda incluye mensajes de registro de hace más de 10 días, o si su búsqueda es de mensajes de registro de un Firebox con Basic Security Suite y no incluye un nombre de campo, en la página se mostrará una lista de sugerencias de búsquedas de nombres de campos.
Los nombres de campos disponibles dependerán del tipo de mensaje de registro que seleccione.Para tener una lista completa de nombres de campos disponibles para el tipo de registro seleccionado, en el cuadro de texto de búsqueda haga clic en .
Términos de Búsqueda
Su consulta puede incluir uno o más términos de búsqueda.
- Los términos de búsqueda no distinguen mayúsculas de minúsculas. Por ejemplo, si su consulta especifica User1, los resultados de búsqueda pueden incluir mensajes de registro con el texto user1 al igual que User1.
- Si su término de búsqueda incluye un espacio, el espacio se considera parte del texto que se va a buscar.
- Debe usar el comodín * para encontrar una palabra parcial en los mensajes de registro. Por ejemplo, para encontrar mensajes de registro de un usuario cuyo nombre empieza con “A”, busque "src_user:a*".
- Para tener mejores resultados, cada término de la búsqueda debe incluir un nombre de campo y un valor. Especifique el nombre de campo y el valor que desea buscar. Los nombres de campo siempre están en minúscula. Por ejemplo, src_ip:10.0.10.1.
- Si su consulta usa términos específicos como “bovpn”, “ssl”, “auth”, “virus” o “ips”, y no hay resultados, trate de encontrar esos eventos como parte del mensaje. Por ejemplo, para encontrar eventos “auth” en un mensaje, busque msg:*auth*.Para consultar otros ejemplos, vaya a Consultas de Ejemplo.
Comodines
Los términos de búsqueda admiten el comodín *, el cual iguala cualquier número de caracteres en un campo de mensajes de registro.
- Los términos de búsqueda sin un nombre de campo solo admiten comodines centrales y finales. No se admiten los comodines iniciales.
- Los términos de búsqueda que incluyen un nombre de campo admiten comodines iniciales, centrales y finales.
- La consulta de búsqueda completa puede contener un máximo de cuatro comodines.
Operadores
En su consulta, puede especificar uno o más elementos a buscar, separados por uno de estos operadores:
- OR — Amplía la búsqueda. Los resultados de la búsqueda incluyen mensajes de registro que contienen uno o ambos elementos.
- AND — Limita la búsqueda. Los resultados de la búsqueda solo incluyen mensajes de registro que contienen ambos elementos.
- NOT — Limita la búsqueda. Los resultados de búsqueda excluyen los mensajes de registro que contienen este término. Si este no es el primer término en la búsqueda, debe precederlo con “AND” u “OR”.
Los operadores de búsqueda deben estar en mayúsculas.
Paréntesis
En una consulta con múltiples operadores, puede usar paréntesis para agrupar los elementos que desea evaluar primero. Puede usar un nivel de paréntesis para agrupar elementos dentro de una consulta. Por ejemplo, disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)
Consultas de Ejemplo
Cuando cree una búsqueda, empiece con búsquedas de consultas parciales sencillas y luego, si es necesario, expanda los criterios de búsqueda.
El filtro de tipo de mensajes de registro se establece como Registros de Tráfico de forma predeterminada. Para buscar todos los mensajes de registro, seleccione Todos los Registros.
Busque un FQDN en mensajes de registro:
dstname:www.example.net
Busque mensajes de registro de eventos donde el campo msg: incluye un evento de virus:
msg:*virus*
Busque mensajes de registro de eventos con un evento de autenticación VPN SSL:
msg:auth*
Busque mensajes de registro de eventos donde el campo msg: incluye un evento (de regeneración) BOVPN ascendente o descendente:
msg:*bovpn*
Busque mensajes de registros de eventos donde el valor del campo msg: comienza con el texto DHCP:
msg:DHCP*
Busque mensajes de registro de eventos donde un valor de campo msg: field comienza con el texto DHCP y contiene la dirección mac: ac:00:bb:cc:dd:ee
msg:DHCP*ac:00:bb:cc:dd:ee*
Encuentre mensajes de registro con eventos APT:
msg:APT*
Busque mensajes de registro donde el nombre de la política comienza con outgoing:
policy:outgoing*
Busque mensajes de registro donde el nombre de la política es Unhandled External Packet-00:
policy:unhandled external packet-00
Busque mensajes de registro donde el nombre de la política comienza con unhandled y donde la dirección IP de destino no es 255.255.255.255:
policy:unhandled* AND NOT dst_ip:255.255.255.255
Busque mensajes de registro que contienen el valor exacto http/tcp o https/tcp en el campo protocolo:
pr:http/tcp OR pr:https/tcp
Busque mensajes de registro donde la dirección IP de origen sea 10.0.2.1:
src_ip:10.0.2.1
Busque mensajes de registro donde la dirección IP de origen esté en la red 10.168.150.0/24:
src_ip:>10.168.150.0 AND src_ip:<10.168.150.255
Busque mensajes de registro donde la dirección IP de origen esté en la red 10.0.2.0/24 o en la red 10.0.1.0/24 y el FQDN de destino sea Microsoft:
dstname:microsoft* AND (src_ip:10.0.2.* OR src_ip:10.0.1.*)
Cuando los resultados de la búsqueda son muy grandes, WatchGuard Cloud no devuelve resultados. Debería reducir el rango de tiempo o ingresar criterios de búsqueda más específicos.
Exportar Resultados de Búsqueda
Una vez completada la búsqueda, puede exportar los resultados de búsqueda a un archivo .CSV que puede descargar en un archivo .ZIP. El archivo .ZIP contiene el archivo .CSV con los resultados de la búsqueda y un archivo de texto con los parámetros de la búsqueda.
El archivo CSV puede incluir hasta 20.000 mensajes de registro. La zona horaria que se muestra en el archivo .CSV es la hora local en la computadora cliente, no la hora UTC.
Para exportar los resultados de la búsqueda, desde la página Log Search:
- Encima de la sección de parámetros de búsqueda, haga clic en el ícono CSV.
- Si el archivo no se descarga automáticamente, seleccione abrir o guardar el archivo.