Se aplica a: Fireboxes administrados en la nube, Fireboxes administrados localmente
En la página Log Search de WatchGuard Cloud para un dispositivo o carpeta, puede crear consultas de búsqueda simples o complejas a fin de encontrar detalles específicos en los mensajes de registro. Log Search utiliza el Lenguaje WatchGuard Query para buscar mensajes de registro almacenados en WatchGuard Cloud. Después de ejecutar una búsqueda, puede exportar los resultados de esta a un archivo y guardarlo para uso posterior fuera de WatchGuard Cloud.
Realizar una Búsqueda desde la Página Log Search
los Fireboxes pueden enviar varios tipos de mensajes de registro para eventos que ocurren en el Firebox. Los tipos de mensajes de registro son Tráfico, Alarma, Evento y Estadística. Para obtener información sobre los tipos de mensajes de registro, consulte el Catálogo de Registros de WatchGuard, disponible en la página Documentación del Firebox.
WatchGuard Cloud almacena los mensajes de registro de diagnóstico enviados por un Firebox, pero no son visibles en Log Manager ni en Log Search. Si necesita resolver un problema, puede solicitar estos mensajes de registro de diagnóstico al Soporte Técnico de WatchGuard.
En Fireware v12.5.4 y superior, el Firebox envía mensajes de registro de diagnóstico a WatchGuard Cloud solo cuando Support Access está habilitado. Para obtener más información, consulte Habilitar Ayuda al Acceso.
Para buscar mensajes de registro en WatchGuard Cloud:
- Inicie sesión en WatchGuard Cloud.
- Seleccione Monitorizar > Dispositivos.
- Seleccione una carpeta o un dispositivo.
- Para seleccionar el intervalo de fechas para los mensajes de registro, haga clic en
.
-
En la lista de informes, seleccione Registros > Log Search.
Se abre la página Log Search para el dispositivo seleccionado.
- Para especificar qué tipo de mensajes de registro incluir en la búsqueda, en la lista desplegable en el lado derecho de la página, seleccione el tipo de mensajes de registro. Para buscar todos los tipos de mensajes de registro, seleccione Todos los Registros.
- En el cuadro de texto Buscar, ingrese el texto de búsqueda. Para seleccionar un nombre de campo de mensajes de registro de una lista, ingrese un espacio o haga clic en
. Para buscar una palabra parcial, debe incluir el comodín * al final de la palabra parcial. Para más información acerca de cómo crear una consulta, vea Lenguaje de WatchGuard Query.
La lista desplegable de campos no incluye todos los campos que podrían aparecer en un mensaje de registro. Su consulta puede incluir cualquier nombre de campo que se muestre en un mensaje de registro de Firebox.
WatchGuard Cloud no admite la búsqueda en todos los campos y todos los registros con comodines. Debe seleccionar un tipo de mensaje de registro y un campo si desea utilizar un comodín.
- Para ejecutar la búsqueda, presione Enter o haga clic en
.
La página se actualiza para mostrar los mensajes de registro que coinciden con su consulta de búsqueda. Los términos que coinciden con la consulta de búsqueda están en negrita. Si los criterios de búsqueda son demasiado amplios, después de 30 segundos, se muestran resultados parciales. Debe reducir el rango de tiempo o ingresar criterios de búsqueda más específicos.
Mensajes de Registro de Firebox
Los mensajes de registro de Firebox consisten de varios campos separados por comas. Cada campo contiene información específica sobre un evento y puede incluir un nombre de campo y un valor. Para obtener más información sobre los mensajes de registro de Fireboxes, consulte Leer un Mensaje de Registro.
Por ejemplo, en los resultados de Log Search de WatchGuard Cloud, un mensaje de registro podría ser así:
FWDeny, Denied, disp=Deny, pri=4, policy=Unhandled External Packet-00, protocol=25536/udp, src_ip=192.168.41.58, src_port=25536, dst_ip=255.255.255.255, dst_port=25536, src_intf=0-External, dst_intf=Firebox, rc=101, pckt_len=208, ttl=128, 3000-0148
En un mensaje de registro, los nombres y valores de los campos están separados por un signo igual (=). En una consulta de Log Search, se usan dos puntos (:) para separar los nombres y valores de los campos.
Lenguaje de WatchGuard Query
Puede usar el Lenguaje WatchGuard Query para crear búsquedas simples o complejas de sus mensajes de registro de Firebox. Su consulta puede incluir lo siguiente:
- Términos de búsqueda — Especifica los campos y los valores que se van a buscar.
- Comodines — Iguala cualquier cantidad de caracteres. Debe usar el comodín * para buscar una palabra parcial en los mensajes de registro.
- Operadores — Especifica cómo cada término de búsqueda expande o restringe la búsqueda.
- Paréntesis — Especifica el orden de las operaciones en una consulta que contiene múltiples operadores.
Cada uno de estos se explica en más detalle en las secciones a continuación.
Términos de Búsqueda
Su consulta puede incluir uno o más términos de búsqueda.
- Los términos de búsqueda no distinguen mayúsculas de minúsculas. Por ejemplo, si su consulta especifica User1, los resultados de búsqueda pueden incluir mensajes de registro con el texto user1 al igual que User1.
- Si su término de búsqueda incluye un espacio, el espacio se considera parte del texto que se va a buscar.
- Debe usar el comodín * para encontrar una palabra parcial en los mensajes de registro. Por ejemplo, para buscar mensajes de registro sobre un nombre de virus que comience con "eicar", busque "virus:eicar*".
- Todos los términos de búsqueda admiten la notación CIDR para coincidir con las direcciones IP en una red. Por ejemplo, podría especificar 10.0.1.0/24 para buscar mensajes de registro que incluyen una dirección IP en esa red.
- Cada término de búsqueda puede ser un valor único, o puede incluir un nombre de campo y un valor.
- Para buscar un valor en cualquier campo de mensajes de registro, especifique el valor sin un nombre de campo. Por ejemplo, http*.
- Para buscar un valor en un campo de mensajes de registro específico, especifique el nombre del campo y el valor que se va a buscar. Los nombres de campo siempre están en minúscula. Por ejemplo, src_ip:10.0.10.1.
Comodines
Los términos de búsqueda admiten el comodín *, el cual iguala cualquier número de caracteres en un campo de mensajes de registro.
- Los términos de búsqueda sin un nombre de campo solo admiten comodines centrales y finales. No se admiten los comodines iniciales.
- Los términos de búsqueda que incluyen un nombre de campo admiten comodines iniciales, centrales y finales.
- La consulta de búsqueda completa puede contener un máximo de cuatro comodines.
Operadores
En su consulta, puede especificar uno o más elementos a buscar, separados por uno de estos operadores:
- OR — Amplía la búsqueda. Los resultados de la búsqueda incluyen mensajes de registro que contienen uno o ambos elementos.
- AND — Limita la búsqueda. Los resultados de la búsqueda solo incluyen mensajes de registro que contienen ambos elementos.
- NOT — Limita la búsqueda. Los resultados de búsqueda excluyen los mensajes de registro que contienen este término. Si este no es el primer término en la búsqueda, debe precederlo con “AND” u “OR”.
Los operadores de búsqueda deben estar en mayúsculas.
Paréntesis
En una consulta con múltiples operadores, puede usar paréntesis para agrupar los elementos que desea evaluar primero. Puede usar un nivel de paréntesis para agrupar elementos dentro de una consulta. Por ejemplo, disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)
Caracteres Especiales Escape
La sintaxis del Lenguaje WatchGuard Query usa los dos puntos (:) para separar los nombres y valores de los campos. Para especificar un valor, como una dirección mac, que contiene dos puntos, preceda cada dos puntos con una barra diagonal inversa (\). Por ejemplo, mac:ac\:00\:bb\:cc\:dd\:ee
Consultas de Ejemplo
El filtro de tipo de mensajes de registro se establece como Registros de Tráfico de forma predeterminada. Para buscar todos los mensajes de registro, seleccione Todos los Registros.
Busque mensajes de registros de eventos donde el valor del campo msg: comienza con el texto DHCP:
msg:DHCP*
Busque mensajes de registro de eventos donde un valor de campo comienza con el texto DHCP y contiene la dirección mac: ac\:00\:bb\:cc\:dd\:ee
DHCP*ac\:00\:bb\:cc\:dd\:ee*
Busque mensajes de registro donde un valor de campo comienza con DNS en cualquier campo:
DNS*
Busque mensajes de registro donde el nombre de la política comienza con outgoing:
policy:outgoing*
Busque mensajes de registro donde el valor del campo mac: comienza con ac:00:bb:cc:
mac:ac\:00\:bb\:cc*
Busque mensajes de registro donde el nombre de la política es Unhandled External Packet-00:
policy:unhandled external packet-00
Busque mensajes de registro donde el nombre del FQDN comienza con watch y termina con .com:
fqdn_dst_match:watch*.com
Busque mensajes de registro donde el nombre de la política comienza con unhandled y donde la dirección IP de destino no es 255.255.255.255:
policy:unhandled* AND NOT dst_ip:255.255.255.255
Busque mensajes de registro que contienen el valor exacto http/tcp o https/tcp en cualquier campo:
http/tcp OR https/tcp
Busque mensajes de registro donde la dirección IP de origen es 10.0.2.1 y el nombre de la aplicación contiene el valor google:
src_ip:10.0.2.1 AND app_name:*google*
Busque mensajes de registro donde cualquier valor de campo comienza con el texto microsoft y dónde la dirección IP de origen está en las redes 10.0.2.0/24 o 10.0.1.0/24:
microsoft* AND (src_ip:10.0.2.0/24 OR src_ip:10.0.1.0/24)
Exportar Resultados de Búsqueda
Una vez completada la búsqueda, puede exportar los resultados de búsqueda a un archivo CSV que puede descargar en un archivo ZIP. El archivo ZIP contiene el archivo CSV con los resultados de la búsqueda y un archivo de texto con los parámetros de la búsqueda.
Para exportar los resultados de la búsqueda, desde la página Log Search:
- Encima de la sección de parámetros de búsqueda, haga clic en el ícono CSV.
- Si el archivo no se descarga automáticamente, seleccione abrir o guardar el archivo.