Establecer las Preferencias de Generación de Registros y Notificación
Las preferencias para la generación de registros y notificación son similares en toda la configuración del Firebox. Las preferencias de generación de registro y notificación controlan cuándo y qué tipos de mensajes de registro genera Firebox cuando ocurre un evento.
Puede configurar dichos ajustes en distintas ubicaciones de la configuración de Firebox. Por ejemplo:
- Políticas y servidores proxy de Firewall — Notificación de alarmas sobre los eventos de política y proxy
- Llave de licencia del Firebox — Notificación de alarma cuando una llave de licencia está vencida o a punto de hacerlo
- Administración de Paquetes Predeterminada — Generación de registros y notificación de alarmas para tipos específicos de ataques y eventos (configurables solamente en Policy Manager)
- Sitios y Puertos Bloqueados — Generación de registros y notificación de alarmas para eventos de sitios y puertos bloqueados
- Intrusion Prevention — Notificación de alarmas cuando IPS genera una alarma
- BOVPN — Notificación de alarmas para los eventos BOVPN
- Multi-WAN — Notificación de alarmas para eventos multi-WAN
- FireCluster — Notificación de alarmas para eventos FireCluster
La mayoría de las opciones descritas en este apartado están disponibles en cada ubicación donde puede definir las preferencias de generación de registros y de notificación.
Ajustes de Registro y Notificación
Los siguientes son los ajustes de generación de registros y notificación que puede configurar:
Enviar un mensaje de registro
En una política de filtrado de paquetes y proxy, esta casilla de selección aparece en los ajustes de Generación de Registros.
Cuando marca esta casilla de selección, el Firebox envía un mensaje de registro cuando se produce un evento que coincide con la configuración en la política. Puede revisar estos mensajes de registro en el Traffic Monitor y Log Manager.
También se usan los mensajes de registro para generar informes para una política de proxy o de filtrado de paquetes que niega las conexiones. Para una política de filtrado de paquetes que permite las conexiones, debe seleccionar esta opción para visualizar los mensajes de registro para las conexiones que permite la política. La generación de registros de tráfico permitido no está habilitada de manera predeterminada, pero puede resultar útil para resolver problemas.
Si no necesita monitorizar de manera activa las conexiones permitidas en el archivo de registro, se recomienda no seleccionar la opción Enviar un mensaje de registro para las políticas que permiten el tráfico. Esto aumenta la carga de CPU en el Firebox y reduce el almacenamiento de registros en Dimension.
Establezca la tasa de registro máxima (Fireware v12.7 y superior)
En Fireware v12.7 y superior, puede seleccionar una opción para especificar el número máximo de mensajes de registro que el Firebox genera para algunos tipos de eventos. Las opciones son:
- Establecer la tasa de registro máxima — Especifique el número máximo de mensajes de registro por cada minuto
- Ilimitado — No limite el número de mensajes de registro
Puede configurar la tasa de registro para sitios bloqueados, puertos bloqueados y estas categorías de Administración de Paquetes Predeterminada:
- Ataques de Suplantación de Paquetes de IP
- Escaneo de Puerto
- Escaneo de IP
- Ruta de Origen de IP
- IPSec, IKE, SYN, ICMP, Ataques de congestión del servidor
- Destino del Ataque DDOS
- Origen del Ataque DDOS
La tasa de registro que especifique para los sitios bloqueados también controla el número máximo de mensajes de registro de Geolocation.
Los límites de tasa de registro se aplican a todos los registros de ese tipo, independientemente del evento que genera el registro que alcanza el límite. Por ejemplo, si establece el límite de tasa de registro de Puertos Bloqueados en 5, después de que Firebox genera 5 registros de Puertos Bloqueados en un minuto, no genera más registros de Puertos Bloqueados hasta el siguiente minuto.
Enviar un mensaje de registro para los informes
Esta casilla de selección aparece en los ajustes de Generación de Registros para una política de filtrado de paquetes que permite las conexiones.
Para las políticas de proxy, este ajuste se encuentra en la acción del proxy y se denomina Habilitar la generación de registros para los informes.
Cuando selecciona esta casilla de selección, el Firebox envía los mensajes de registro que se usan para generar los informes sobre las conexiones permitidas.
Enviar captura de SNMP
Cuando marca esta casilla de selección, el Firebox envía una notificación de evento al sistema de administración del SNMP. El Protocolo de Administración de Red Simple (SNMP) es un conjunto de herramientas que se usa para monitorizar y administrar redes. Una captura SNMP es una notificación de evento que el dispositivo envía al sistema de administración de SNMP cuando ocurre una condición especificada.
Si marca la casilla de selección Enviar Captura SNMP, y aún no ha configurado SNMP, aparece un cuadro de diálogo y pregunta si quiere hacerlo. Haga clic en Sí para ir al cuadro de diálogo Configuración SNMP. No puede enviar capturas SNMP si no tiene el SNMP configurado.
Para obtener más información acerca del SNMP, consulte:
- Acerca del SNMP
- Activar Capturas y Estaciones de Administración de SNMP
- Acerca de las Capturas SNMP para Alarmas
Enviar notificación
Cuando marca esta casilla de selección, el Firebox envía un mensaje de registro de alarma cuando se produce el evento especificado. Todos los mensajes de alarma aparecen en el informe de Alarmas. También puede recibir la notificación sobre las alarmas. Para obtener más información, consulte Acerca de la Notificación.
Este ajuste permite al Firebox enviar los mensajes de registro que se requieren para generar el informe de Alarmas, incluso si están deshabilitados otros ajustes de generación de registros.
Cuando habilita la notificación, se especifica un método. Esto establece el tipo de alarma en el mensaje de registro y controla la manera en que usted recibe la notificación cuando ocurre el evento. Seleccione una de estas opciones:
Correo electrónico
El Firebox envía un mensaje de registro de alarmas que contiene alarm_type=email.
Cuando Dimension, WatchGuard Cloud o un servidor WSM Log Server reciben el mensaje de registro de alarmas, pueden enviar una notificación por correo electrónico a las direcciones indicadas. Para que el servidor envíe las notificaciones por correo electrónico, usted debe configurar los ajustes de notificación por correo electrónico y los receptores correspondientes en WatchGuard Cloud, Dimension o WSM Log Server. Para obtener información sobre cómo configurar los ajustes de notificación por correo electrónico, consulte:
- Dimension — Configurar los Ajustes de Notificación para Dimension
- WatchGuard Cloud — Configurar las Reglas para Notificaciones
- WSM Log Server — Configurar los Ajustes de Notificación para el Log Server
Ventana emergente
El Firebox envía un mensaje de registro de alarmas que contiene alarm_type=ppp-up.
Si selecciona esta opción, aparece el mensaje de registro de alarmas en el informe de Alarmas, pero no se genera ninguna otra alerta o notificación por correo electrónico.
WSM Log Server ya no admite la notificación mediante ventana emergente. Le recomendamos seleccionar el método predeterminado de notificación por Correo electrónico.
Generación de Registros y Notificación en las Políticas
Cuando configura los ajustes de generación de registros de la política dependen del tipo de política. El ajuste que controla la generación de registros de los informes es distinto para las políticas de filtrado de paquetes y de proxy.
Políticas de filtrado de paquetes
En las políticas de filtrado de paquetes, puede configurar estos ajustes de generación de registros en las propiedades:
- Enviar mensajes de registro
- Enviar un mensaje de registro para los informes
- Enviar captura SNMP
- Enviar notificación
El ajuste Enviar mensaje de registro para los informes aparece solamente en las políticas de filtrado de paquetes que permiten las conexiones. Las políticas de filtrado de paquetes que prohíben las conexiones siempre generan mensajes de registro para los informes.
La opción Ventana emergente no genera una notificación emergente. Para generar una alerta en WatchGuard Cloud, seleccione el método de notificación por Correo electrónico. Para más información, consulte Configurar las Reglas de Notificación para Eventos de Firebox.
Políticas de proxy
En las políticas de proxy, puede configurar estos ajustes de generación de registros en las propiedades:
- Enviar mensajes de registro
- Enviar captura SNMP
- Enviar notificación
Para las políticas de proxy, el ajuste que habilita al Firebox a enviar un mensaje de registro de los informes se encuentra en la acción de proxy y se denomina Habilitar la generación de registros para los informes.
Las acciones de proxy también incluyen un ajuste que anula el nivel de registros de diagnóstico de las políticas que utilizan la acción de proxy. Para obtener información acerca de los niveles de registros de diagnóstico, consulte Definir el nivel de registro de diagnóstico.
Ver También
Acerca de la Generación de Registros y Notificación de Firebox