Le serveur WatchGuard Log Server est un composant du WatchGuard Server Center. Il s'agit d'une base de données locale capable de collecter les données des messages de journal auprès de chaque Firebox ou serveur WatchGuard connecté. Vous pouvez installer WatchGuard Log Server sur votre station de gestion ou sur un autre ordinateur. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de sauvegarde et d'évolutivité. Pour cela, utilisez le programme d'installation de WatchGuard System Manager (WSM) et choisissez d'installer uniquement le composant Log Server. Pour plus d'informations sur l'installation, consultez Configurer Votre Log Server.
Données des Messages de Journal
Un serveur Log Server reçoit des informations sur les ports TCP 4107 et 4115. Chaque Firebox qui se connecte au Log Server envoie d'abord son nom, son numéro de série, son fuseau horaire et sa version du logiciel, puis envoie les données de journal lorsque de nouveaux événements se produisent. les Fireboxes envoient des messages de journal de trafic, d'alarme, d'événement, de débogage et de statistiques de performances. Le numéro de série (SN) du Firebox est utilisé pour identifier le Firebox de manière unique dans la base de données du Log Server. Bien que les messages de journal envoyés à Log Server puissent venir de nombreux fuseaux horaires différents, Log Server stocke tous ces message au format UTC.
Processus
Le serveur Log Server utilise plusieurs processus et modules pour collecter et enregistrer les données des messages de journal.
- wlcollector.exe est le processus de collecte des journaux. Il exécute deux modules :
- ap_collector collecte les journaux auprès du Firebox et les stocke dans la base de données du serveur Log Server.
- ap_notify collecte les alarmes auprès du Firebox et envoie le type de notification que vous avez choisi.
Format des Données
Les messages de journal sont envoyés au serveur WatchGuard Log Server au format XML (texte brut) et sont chiffrés lors de leur transfert avec une connexion SSL (AES 256 bits). Les données des journaux ne sont pas chiffrées lorsqu'elles sont enregistrées dans la base de données du serveur Log Server.
Une fois que Log Server a collecté les données de journal provenant de vos périphériques Firebox, vous pouvez utiliser WatchGuard Report Server pour consolider périodiquement les données et générer des rapports.
Chiffrement
Lorsque le Report Server obtient des données à partir du Log Server, ces données de messages de journal sont envoyées via une connexion SSL chiffrée (AES 256 bits).
Pour obtenir plus d'informations à propos de Report Server, consultez À propos de Report Server.
Fichiers journaux
Le serveur WatchGuard Log Server utilise les fichiers wlcollector.log et ap_collector.log pour stocker des informations relatives aux connexions au Firebox et aux bases de données. Ces informations comprennent les erreurs d'authentification, les non-correspondances entre stimulation et réponse, ainsi que les erreurs d'accès à la base de données.
Ces fichiers sont stockés par défaut dans ce répertoire :
C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
Bases de données Log Server
Les informations de journal sont stockées dans une base de données PostgreSQL. Le serveur Log Server utilise de multiples instances de la base de données PostgreSQL pour gérer sa base de données globale. Chaque instance de la base de données PostgreSQL s'affiche dans le Gestionnaire des tâches de Windows en tant que processus PostgreSQL séparé.
Chaque serveur Log Server dispose de quatre tables principales de bases de données qui stockent les messages de journal de tous les Fireboxes. Log Server crée des partitions de taille fixe pour enregistrer les informations de journal dans ces bases de données. Pour modifier manuellement le contenu de la base de données Log Server, vous pouvez utiliser l'invite de commande ou une application tierce comme pgadmin.
Lorsqu'un Firebox se connecte au Log Server pour la première fois, le Log Server met à jour la base de données globale à l'aide d'informations relatives au nouveau Firebox. Les messages de journal de chaque Firebox sont envoyés à l'une des quatre tables de bases de données du Log Server. Les données de ces tableaux sont utilisées quand vous consultez des fichiers journaux ou que vous créez un rapport dans WatchGuard WebCenter.
Les rapports générés par un serveur WatchGuard Report Server sont stockés en tant que fichiers XML dans le répertoire suivant :
C:\ProgramData\WatchGuard\wrserver\reports\
Performances et espace disque
Vous pouvez configurer un maximum de 100 Firebox pour envoyer des informations de journal à un seul Log Server. Cependant, le nombre exact de périphériques Firebox que vous pouvez connecter à votre Log Server dépend de la taille et de la vitesse de ses disques durs, de la quantité de mémoire vive disponible, du nombre de processeurs et de la quantité de trafic de journal envoyée à Log Server par chaque Firebox connecté. Pour sensiblement améliorer les performances de Log Server, ajoutez un disque dur plus rapide, davantage de mémoire ou un autre processeur.
Vous pouvez configurer le serveur Log Server pour supprimer automatiquement les anciens messages de journal de la base de données. Lorsque vous configurez un serveur Log Server pour la première fois, nous vous recommandons de mesurer la quantité d'espace disque utilisée quotidiennement. Estimez la durée en nombre de jours au cours de laquelle vous pouvez conserver des messages de journal avant que la base de données ne prenne trop d'espace disque, puis modifiez les paramètres pour qu'ils correspondent à l'intervalle temporel. Lorsque des messages de journal sont supprimés de la base de données, l'espace disque est réutilisé lorsque de nouvelles entrées de journal sont créées.
L'utilitaire reindexdb reconstruit les index dans une ou plusieurs tables PostgreSQL pour de meilleures performances. Il est recommandé de n'exécuter cet utilitaire que si vous y êtes invité par un représentant du Support Technique WatchGuard.
les sections Log Manager et Report Manager
Vous pouvez utiliser les pages Log Manager et Report Manager de l'interface utilisateur interactive Web du WatchGuard WebCenter pour afficher les détails de vos fichiers journaux, consulter les rapports générés depuis vos périphériques Firebox et serveurs WatchGuard et générer des rapports à la demande. Vous pouvez focaliser sur les données d'un quelconque rapport pour voir les détails granulaires inclus dans le rapport. Chaque rapport comprend des liens vers des détails de rapports connexes.
Pour plus d'informations, consultez Voir les Messages de Journal et les Rapports dans WebCenter, Afficher les Messages de Journal d'un Périphérique dans WebCenter et Afficher les Rapports dans Report Manager.
Voir Également
Démarrage rapide — Configurer la Journalisation sur un Serveur WSM Log Server