Une fonctionnalité importante d'une sécurité réseau consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner fréquemment ces enregistrements et à les conserver dans une archive pour vous y référer ultérieurement. Le système de message de journal WatchGuard créé des fichiers journaux à l'aide d'informations concernant des évènements liés à la sécurité que vous pouvez examiner pour analyser la sécurité et l'activité de votre réseau, identifier les risques de sécurité et y remédier.
Un fichier journal est une liste d'événements contenant des informations sur ces événements. Un événement est une activité qui se produit sur le périphérique Firebox. Le refus d'un paquet par le Firebox est un exemple d'événement. Votre Firebox peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l'activité sur votre réseau.
Sur Dimension, vous pouvez consulter les messages de journal des périphériques Firebox, des clusters FireCluster et des serveurs WatchGuard connectés qui envoient des messages de journal à votre serveur Dimension. Log Manager vous permet de voir les messages de journal sur votre Firebox pour la période que vous spécifiez si les messages de journal ont été générés dans la période sélectionnée.
Lorsque Dimension stocke les messages de journal, il convertit les horodatages au fuseau horaire UTC. Lorsque vous consultez les rapports dans Dimension, des horodatages apparaissent dans votre fuseau horaire local.
Les message de journal sont envoyés à votre serveur Dimension en format XML (texte brut) et sont chiffrés pour transiter avec une connexion SSL (AES 256 bits). Les données ne sont pas chiffrées lorsqu'elles sont enregistrées dans la base de données des messages de journal du serveur Dimension.
Sur les onglets de la page Périphériques, l'ensemble des périphériques Firebox et des clusters FireCluster qui envoient des messages de journal à votre serveur Dimension apparaissent. Sur la page Serveurs, l'ensemble des serveurs WatchGuard qui envoient les messages de journal à votre serveur Dimension apparaissent. Sur ces pages, vous pouvez sélectionner n'importe quel Firebox, FireCluster ou serveur pour voir les messages de journal y afférents, même si l'état Connecté est Non. Quand vous sélectionnez un Firebox, un FireCluster ou un serveur, la page des messages de journal apparaît et affiche un graphique de fréquence de consignation en haut de la liste des messages de journal, qui montre la plage des données consignées pour votre Firebox, FireCluster ou serveur sélectionné. Ce graphique de fréquence de consignation est par défaut un graphique à barres ; vous pouvez toutefois modifier le paramètre pour voir les données sous forme d'un graphique en courbes. Vous pouvez sélectionner la période pour afficher les messages de journal. Vous pouvez aussi filtrer la liste des messages de journal par type et faire une recherche des messages de journal pour des données spécifiques.
Si vous changez le nom d'un FireCluster, pour consulter les messages de journal qui ont été générés par le FireCluster avant son changement de nom, vous devez sélectionner le FireCluster par le nom qui lui était attribué lorsque ces messages de journal ont été générés. Après avoir modifié le nom d'un FireCluster, vous devez sélectionner le FireCluster par son nouveau nom pour consulter les messages de journal qui ont été générés après le changement de nom.
Les informations disponibles dans la liste des messages de journal dépendent du type de journal que vous choisissez.
| Bouton Type de Journal | Type de Journal | Informations des Résultats |
|---|---|---|
|
Trafic | Disposition, Date-Heure, Source, Interface, Destination, Port, Interface, Protocole, Stratégie |
|
Alarme | Date-Heure, Nom de l'alarme, Message |
|
Évènement | Date-Heure, Processus, Priorité, Message |
|
Diagnostic | Date-Heure, Processus, Message |
|
Statistiques | Date-Heure, Périphérique, Octets reçus, Octets envoyés |
|
Tous | Type, Date-Heure, Message détaillé |
Afficher les Messages de Journal
- Pour afficher les messages de journal de vos périphériques Firebox ou clusters FireCluster, sélectionnez Accueil > Périphériques.
La page Périphériques s'ouvre, avec l'onglet Liste sélectionné.
Pour afficher les messages de journal d'un groupe de périphériques Firebox, sélectionnez Accueil > Groupes.
Pour afficher les messages de journal pour un serveur WatchGuard, sélectionnez Accueil > Serveurs. - Sélectionnez le Nom d'un Firebox, cluster, groupe, ou serveur.
La page Outils > Tableau de Bord Exécutif s'ouvre. - Dans les calendriers déroulants Début et Fin, sélectionnez la date de début et de fin des messages de journal puis cliquez sur Appliquer. Astuce !
- Dans la section JOURNAUX, sélectionnez Log Manager.
Les messages de journal pour le périphérique, cluster ou serveur sélectionnés apparaissent, les messages de journal du trafic s'affichant par défaut.
Exemple de la page messages de journal pour un Firebox.
- Pour filtrer les messages de journal pour un Firebox par un autre type de journal, cliquez sur le bouton d'un type de journal.
Cette option n'est pas proposée pour les serveurs. La liste des messages de journal change pour ne comprendre que les messages du type de journal sélectionné. - Pour voir un graphique en courbes des données des messages de journal, cliquez sur
.
Pour voir un histogramme des données des messages de journal, cliquez sur
.
Cela est le paramètre par défaut. - Pour faire un zoom avant sur une section du graphique de fréquence de consignation et consulter un jeu de données plus succinct, placez votre curseur sur le graphique, maintenez le bouton gauche de la souris enfoncé et faites glisser le curseur pour choisir une plage de temps.
La liste des messages de journal est mise à jour d'après votre nouvelle sélection et
apparaît sur le graphique de fréquence de consignation. - Pour faire un zoom arrière et revenir à la période initiale, cliquez sur .
- Pour plus de détails sur un message de journal dans la liste, cliquez sur ce message.
Une boîte de dialogue contenant des informations additionnelles sur le message de journal que vous avez choisi s'ouvre.
- Pour copier le contenu du message, mettez en surbrillance son texte, cliquez avec le bouton droit et sélectionnez Copier, ou appuyez sur les touches Ctrl+C du clavier.
Rechercher des messages de journal
Vous pouvez utiliser la fonction Rechercher pour filtrer les messages de journal qui apparaissent pour l'un de vos périphériques Firebox ou serveurs. Sur la page messages de journal, vous pouvez effectuer une recherche simple pour filtrer les messages de la liste messages de journal.
Pour plus d'informations sur la manière d'effectuer une recherche plus avancée des messages de journal de votre Firebox, voir Rechercher les Messages de Journal d'un Périphérique dans WebCenter. Les paramètres de recherche avancée ne sont pas disponibles pour les serveurs.
Effectuer une Recherche depuis la Page des messages de journal :
- Dans la zone de texte Rechercher, saisissez le texte à rechercher dans les messages de journal.
- Cliquez sur
.
Les messages de journal affichés sont mis à jour pour inclure uniquement les messages qui correspondent aux paramètres de recherche spécifiés.
Afficher une analyse par tranche horaire
Le graphique Analyse par Tranche Horaire est un graphique à secteurs qui affiche le nombre total de messages de journal, le taux moyen d'arrivée des messages (par minute ou par seconde), et le pourcentage de chaque type de message envoyé au serveur Dimension depuis un Firebox dans la période indiquée. L'analyse par tranche horaire n'est pas disponible pour les messages de journal de vos serveurs.
Pour consulter une Analyse par Tranche Horaire d'un Firebox :
- Dans la liste Périphériques, sélectionnez le Nom d'un Firebox.
La page des messages de journal du périphérique sélectionné s'ouvre, affichant uniquement les messages de journal Trafic. - Dans la liste Actions, sélectionnez Analyse par tranche horaire.
Le graphique Analyse par tranche horaire apparaît dans une nouvelle boîte de dialogue.
Exporter les Messages de Journal
Vous pouvez exporter les messages de journal pour tout périphérique ou serveur vers un fichier CSV. Quand vous exportez les messages de journal, un fichier CSV est créé avec les messages disponibles pour le périphérique sélectionné pour la période spécifiée. Le fichier CSV est automatiquement ajouté à un fichier ZIP. Le nom de fichier du fichier CSV inclus dans le fichier ZIP est la date et la période des messages de journal dans le fichier. Le fichier ZIP contient un fichier texte avec les paramètres de recherche. Le nom du fichier ZIP est le numéro de série du périphérique, ainsi que la date et la période des messages de journal. Si vous choisissez d'enregistrer le fichier ZIP quelque part sur votre ordinateur, vous pouvez spécifier n'importe quel nom de fichier.
- Dans la liste Périphériques, sélectionnez le nom d'un périphérique.
La page des messages de journal du périphérique sélectionné s'ouvre. - Dans la liste déroulante Actions, sélectionnez Exporter les journaux (.csv).
Une boîte de dialogue d'ouverture de fichier s'ouvre pour le fichier ZIP. - Choisissez d'ouvrir le fichier ZIP ou de l'enregistrer quelque part sur votre ordinateur.
- Cliquez sur OK.
- Si vous enregistrez le fichier, sélectionnez l'emplacement de votre choix.
- (En option) Tapez le nom du fichier ZIP.
- Cliquez sur Enregistrer.
Le fichier ZIP est enregistré à l'emplacement spécifié sur votre ordinateur. - Accédez à l'emplacement où vous avez enregistré le fichier ZIP et ouvrez le fichier.
- Extrayez le fichier CSV.
Vous pouvez à présent ouvrir le fichier CSV et consulter les messages de journal, ou bien importer le fichier CSV vers un autre programme. Lorsque vous exportez des messages de journal vers un fichier CSV, le fuseau horaire qui apparaît dans le fichier est l'heure locale sur l'ordinateur du client.