Lire un message de journal

Chaque message de journal généré par votre Firebox contient une série de données concernant le trafic sur votre Firebox. Si vous consultez les messages de journal dans Traffic Monitor, les détails des données sont affichés avec des couleurs différentes pour vous aider à distinguer visuellement chaque détail.

Voici un exemple de message de journal de trafic dans Traffic Monitor :

2014-07-02 17:38:43 Member2 Allow 192.168.228.202 10.0.1.1 webcache/tcp 42973 8080 3-Trusted 1-WCI Allowed 60 63 (Outgoing-proxy-00) proc_id="firewall" rc="100" src_ip_nat="69.164.168.163" tcp_info="offset 10 S 2982213793 win 2105" msg_id="3000-0148"

Lorsque vous lisez les messages de journal, vous pouvez voir des détails comme le moment où la connexion pour le trafic a eu lieu, l'origine et la destination du trafic, ainsi que la disposition de la connexion et d'autres détails.

Chaque message de journal inclut les détails suivants :

Horodatage

La ligne du message de journal commence par un horodatage qui comprend l'heure et la date où le message de journal a été créé. L'horodatage utilise le fuseau horaire et l'heure actuelle du Firebox.

Voici l'horodatage de l'exemple de message de journal ci-dessus :

2014-07-02 17:38:43

Information de Membre de FireCluster

Si le message de journal provient d'un Firebox membre d'un FireCluster, le message de journal contient le numéro de membre du cluster du Firebox.

Voici l'information de membre du FireCluster de l'exemple de message de journal ci-dessus :

Membre2

Disposition

Chaque message de journal indique la disposition pour le trafic : Autoriser ou Refuser. Si le message de journal concerne du trafic géré par une stratégie de proxy au lieu d'une stratégie de filtrage de paquets, il se peut que le trafic ait la mention Autoriser, même si le corps du paquet a été supprimé ou altéré par l'action du proxy.

Voici la disposition de l'exemple de message de journal ci-dessus :

Autoriser

Adresses d'Origine et de Destination

Après la disposition, le message de journal indique les véritables adresses IP d'origine et de destination du trafic. Si une NAT a été appliqué au trafic, les adresses NAT apparaissent plus loin dans le message de journal.

Voici les adresses d'origine et de destination de l'exemple de message de journal ci-dessus :

192.168.228.202 et 10.0.1.1

Service et Protocole

Les entrées suivantes du message de journal sont le service et le protocole qui ont géré le trafic. Le service est spécifié d'après les protocole et port que le trafic a utilisés, et non d'après le nom de la stratégie qui a géré le trafic. Si le service ne peut être déterminé, le numéro de port apparaît à la place.

Voici les service et protocole de l'exemple de message de journal ci-dessus :

webcache/tcp

Ports d'Origine et de Destination

Les détails suivants dans le message de journal sont les ports d'origine et de destination. Le port d'origine identifie le trafic retour. Le port de destination détermine le service utilisé pour le trafic.

Voici les ports d'origine et de destination de l'exemple de message de journal ci-dessus :

42973 et 8080

Interfaces d'Origine et de Destination

Les interfaces d'origine et de destination apparaissent après le port de destination. Ce sont les interfaces physiques ou virtuelles qui gèrent la connexion pour ce trafic.

Voici les interfaces d'origine et de destination de l'exemple de message de journal ci-dessus :

3-Trusted et 1-WCI

Action de Connexion

Il s'agit de l'action appliquée à la connexion du trafic. Pour les actions de proxy, ceci indique si le contenu du paquet est autorisé, rejeté ou supprimé.

Voici l'action de connexion de l'exemple de message de journal ci-dessus :

Autorisé

Longueur du Paquet

Les deux valeurs de longueur de paquet indiquent la longueur du paquet (en octets) et sa valeur TTL (durée de vie). La TTL est une mesure utilisée pour éviter la congestion réseau en n'autorisant le paquet qu'à passer par un nombre spécifique de périphériques de routage avant d'être rejeté.

Voici les valeurs de longueur de paquet de l'exemple de message de journal ci-dessus :

60 (longueur de paquet) et 63 (TTL)

Nom de la Stratégie

Il s'agit du nom de la stratégie sur votre Firebox qui gère le trafic. La valeur (-00) est automatiquement ajoutée à la suite des noms de stratégie et fait partie du système de référence interne du Firebox.

Voici le nom de stratégie de l'exemple de message de journal ci-dessus :

(Outgoing-proxy-00)

Processus

Cette partie du message de journal indique le processus qui gère le trafic.

Voici le processus de l'exemple de message de journal ci-dessus :

proc_id="firewall"

Code de retour

Il s'agit du code retour pour le paquet, qui est utilisé dans les rapports.

Voici le code retour de l'exemple de message de journal ci-dessus :

rc="100"

Adresse NAT

Il s'agit de l'adresse IP qui apparaît à la place de la véritable adresse IP source du trafic après son départ de l'interface du Firebox et l'application des règles NAT. Une adresse IP NAT de destination peut aussi être incluse.

Voici l'adresse NAT de l'exemple de message de journal ci-dessus :

src_ip_nat="69.164.168.163"

Taille de Paquet

Le détail tcp_info comprend les valeurs de décalage, séquence et taille de fenêtre pour le paquet qui initie la connexion. Les détails de taille de paquet qui sont inclus dépendent du type de protocole.

Voici la taille de paquet de l'exemple de message de journal ci-dessus :

tcp_info="offset 10 S 2982213793 win 2105"

Numéro d'Identification de Message

Chaque type de message de journal contient un numéro d'identification de message unique. Lorsque vous consultez un message de journal dans Traffic Monitor, le numéro d'ID du message peut apparaître en tant que valeur du détail msg_id= ou id=. Dans Log Manager, le numéro d'ID de message apparaît en tant que valeur du détail id=.

Certains messages de journal ne contiennent pas de numéro d'ID de message. Seuls les messages de journal auxquels sont attribués un numéro d'ID de message sont inclus dans le Catalogue des Journaux.

Voici le numéro d'ID de message de l'exemple de message de journal ci-dessus :

msg_id="3000-0148"

Pour de plus amples informations à propos de certains messages de journal générés par votre Firebox, consultez le Catalogue des Journaux Fireware disponible sur la page de documentation WatchGuard Firebox et Dimension.

Le numéro d'ID de message inclus dans le Catalogue des Journaux Fireware ne contient pas les tirets qui apparaissent dans le numéro d'ID de message dans Traffic Monitor et Log Manager. Si vous recherchez un ID de message dans le Catalogue des Journaux, supprimez le tiret du numéro d'ID de message.

Voir Également

À propos de la Journalisation et des Notifications Firebox