Log Search (WatchGuard Cloud)
S'applique à : Fireboxes Gérés sur le Cloud, Fireboxes Gérés en Local
Sur la page WatchGuard Cloud Log Search d'un périphérique ou d'un dossier, vous pouvez créer des requêtes de recherche simples ou complexes pour rechercher des détails spécifiques dans les messages de journal. Log Search emploie le Langage de Requête WatchGuard pour rechercher les messages de journal conservés dans WatchGuard Cloud. Après avoir effectué une recherche, vous pouvez exporter les résultats de la recherche vers un fichier que vous pouvez enregistrer pour l'utiliser plus tard en dehors de WatchGuard Cloud.
Effectuer une Recherche depuis la Page Log Search
Les Fireboxes peuvent envoyer différents types de messages de journal en fonction des évènements qui surviennent. Les types de messages de journal sont Trafic, Alarme, Évènement et Statistiques. Pour de plus amples informations concernant les types de messages de journal, consultez le Catalogue des Journaux WatchGuard disponible à la page Documentation du Firebox.
WatchGuard Cloud stocke les messages de journal de diagnostic envoyés par un Firebox, mais ils ne sont pas visibles dans Log Manager ou Log Search. Si vous devez résoudre un problème, vous pouvez demander ces messages de journal de diagnostic au Support Technique WatchGuard.
Dans Fireware v12.5.4 et les versions ultérieures, le Firebox envoie des messages de journal de diagnostic à WatchGuard Cloud uniquement lorsque l'Accès au Support est activé. Pour plus d'informations, consultez Activer l'Accès de l'Assistance.
Pour rechercher des messages de journal dans WatchGuard Cloud :
- Connectez-vous à WatchGuard Cloud.
- Sélectionnez Surveiller > Périphériques.
- Sélectionnez un dossier ou un périphérique.
- Pour sélectionner la période des messages de journal, cliquez sur .
-
Dans la liste des rapports, sélectionnez Journaux > Log Search.
La page Log Search du périphérique sélectionné s'ouvre. - Pour spécifier le type de messages de journal à inclure dans la recherche, sélectionnez le type de message de journal dans la liste déroulante située à droite de la page. Pour rechercher tous les types de messages de journal, sélectionnez Tous les Journaux.
- Dans la zone de texte Rechercher, saisissez votre requête. Pour sélectionner un nom de champ de message de journal dans une liste, saisissez un espace ou cliquez sur . Pour rechercher une partie d'un mot, vous devez inclure le caractère générique * à la fin du mot partiel. Pour de plus amples informations sur la création d'une requête, consultez Langage de Requête WatchGuard.
La liste déroulante des champs n'inclut pas tous les champs susceptibles de figurer dans un message de journal. Votre requête peut inclure n'importe quel nom de champ figurant dans un message de journal du Firebox.
WatchGuard Cloud ne prend pas en charge la recherche dans tous les champs et tous les journaux avec des caractères génériques. Vous devez sélectionner un type de message de journal et un champ si vous souhaitez utiliser un caractère générique.
- Pour lancer la recherche, appuyez sur Entrée ou cliquez sur .
La page est mise à jour pour afficher les messages de journal correspondant à votre requête. Les termes correspondant à la requête s'affichent en gras. Si les critères de recherche sont trop larges, des résultats partiels s'affichent au bout de 30 secondes. Vous devez réduire la période ou saisir des critères de recherche plus spécifiques.
Messages de Journal du Firebox
Les messages de journal du Firebox sont constitués de différents champs séparés par des virgules. Chaque champ contient des informations spécifiques concernant un évènement et peut inclure un nom de champ et une valeur. Pour de plus amples informations concernant les messages de journal du Firebox, consultez Lire un message de journal.
À titre d'exemple, dans les résultats de recherche des journaux de WatchGuard Cloud, un message de journal peut ressembler à celui-ci :
FWDeny, Denied, disp=Deny, pri=4, policy=Unhandled External Packet-00, protocol=25536/udp, src_ip=192.168.41.58, src_port=25536, dst_ip=255.255.255.255, dst_port=25536, src_intf=0-External, dst_intf=Firebox, rc=101, pckt_len=208, ttl=128, 3000-0148
Dans un message de journal, les noms et les valeurs des champs sont séparés par un signe égal (=). Dans une requête Log Search, utilisez le caractère deux points (:) pour séparer les noms et les valeurs des champs.
Langage de Requête WatchGuard
Vous pouvez utiliser le Langage de Requête WatchGuard pour créer des recherches simples ou complexes parmi les messages de journal de votre Firebox. Votre requête peut inclure les éléments suivants :
- Termes de la recherche — Précisez les champs et les valeurs à rechercher.
- Caractères Génériques — Trouve n'importe quelle suite de caractères. Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal.
- Opérateurs — Indiquez la manière dont chaque terme de recherche élargit ou restreint la recherche.
- Parenthèses — Spécifiez l'ordre des opérations au sein d'une requête contenant plusieurs opérateurs.
Chacun de ces éléments est expliqué en détail dans les sections suivantes.
Termes de la Recherche
Votre requête peut inclure un ou plusieurs termes de recherche.
- Les termes de recherche ne sont pas sensibles à la casse. À titre d'exemple, si votre requête spécifie Utilisateur1, les résultats de recherche peuvent inclure les messages de journal comprenant le texte utilisateur1 comme Utilisateur1.
- Si votre terme de recherche comprend un espace, celui-ci est considéré comme partie intégrante du texte à rechercher.
- Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal. À titre d'exemple, pour rechercher les messages de journal concernant un virus dont le nom commence par « eicar », recherchez « virus:eicar* ».
- Tous les termes de recherche acceptent la notation CIDR de correspondance des adresses IP sur un réseau. À titre d'exemple, vous pourriez spécifier 10.0.1.0/24 pour rechercher les messages de journal comprenant une adresse IP appartenant à ce réseau.
- Chaque terme de recherche peut être une valeur unique ou inclure un nom de champ et une valeur.
- Pour rechercher une valeur dans n'importe quel champ de message de journal, indiquez-la sans nom de champ. Par exemple : http*.
- Pour rechercher une valeur dans un champ de message de journal spécifique, indiquez le nom du champ ainsi que la valeur à rechercher. Les noms de champ sont toujours en minuscules. Par exemple : src_ip:10.0.10.1.
Caractères Génériques
Les termes de recherche prennent en charge le caractère générique *, qui permet de trouver n'importe quelle suite de caractères dans un champ de message de journal.
- Les termes de recherche sans nom de champ n'acceptent les caractères génériques qu'en milieu et en fin de terme. Les caractères génériques en début de terme ne sont pas pris en charge.
- Les termes de recherche comprenant un nom de champ prennent en charge les caractères génériques en début, au milieu et en fin de terme.
- Une requête de recherche complète peut contenir au maximum quatre caractères génériques.
Opérateurs
Dans votre requête, vous pouvez spécifier un ou plusieurs éléments à rechercher en les séparant par l'un des opérateurs suivants :
- OR — Élargit la recherche. Les résultats de recherche renvoient les messages de journal contenant l'un ou l'autre élément.
- AND — Restreint la recherche. Les résultats de recherche renvoient uniquement les messages de journal contenant les deux éléments.
- NOT — Restreint la recherche. Les résultats de recherche excluent les messages de journal contenant ce terme. S'il ne s'agit pas du premier terme de la recherche, vous devez le faire précéder de AND ou OR.
Les opérateurs de recherche doivent être écrits en majuscules.
Parenthèses
Dans une requête comprenant plusieurs opérateurs, vous pouvez utiliser des parenthèses pour regrouper les éléments que vous souhaitez évaluer en premier. Vous pouvez utiliser un niveau de parenthèses pour regrouper les éléments d'une requête. Par exemple : disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)
Caractères Spéciaux d'Échappement
La syntaxe du Langage de Requête WatchGuard emploie le caractère deux points (:) pour séparer les noms de champ et les valeurs. Pour spécifier une valeur contenant le caractère deux points telle qu'une adresse mac, faites précéder chaque caractère deux points d'une barre oblique inverse (\). Par exemple : mac:ac\:00\:bb\:cc\:dd\:ee
Exemples de Requêtes
Le filtre du type de message de journal est configuré par défaut avec la valeur Journaux de Trafic. Pour rechercher dans tous les messages de journal, sélectionnez Tous les Journaux.
Rechercher les messages de journal d'évènements dont la valeur du champ msg: commence par le texte DHCP :
msg:DHCP*
Rechercher les messages de journal d'évènements dont une valeur de champ commence par le texte DHCP et contient l'adresse mac : ac\:00\:bb\:cc\:dd\:ee
DHCP*ac\:00\:bb\:cc\:dd\:ee*
Rechercher les messages de journal dont une valeur de champ commence par DNS, quel que soit le champ :
DNS*
Rechercher les messages de journal dont le nom de la stratégie commence par outgoing :
policy:outgoing*
Rechercher les messages de journal dont la valeur du champ « mac » commence par ac:00:bb:cc :
mac:ac\:00\:bb\:cc*
Rechercher les messages de journal dont le nom de la stratégie est Unhandled External Packet-00 :
policy:unhandled external packet-00
Rechercher les messages de journal dont le nom FQDN commence par watch et se termine par .com :
fqdn_dst_match:watch*.com
Rechercher les messages de journal dont le nom de la stratégie commence par unhandled et dont l'adresse IP de destination n'est pas 255.255.255.255 :
policy:unhandled* AND NOT dst_ip:255.255.255.255
Rechercher les messages de journal contenant la valeur exacte http/tcp ou https/tcp dans n'importe quel champ :
http/tcp OR https/tcp
Rechercher les messages de journal dont l'adresse IP source est 10.0.2.1 et dont le nom de l'application contient la valeur google :
src_ip :10.0.2.1 AND app_name:*google*
Rechercher les messages de journal dont n'importe quelle valeur de champ commence par le texte microsoft et dont l'adresse IP source appartient au réseau 10.0.2.0/24 ou 10.0.1.0/24 :
microsoft* AND (src_ip:10.0.2.0/24 OR src_ip:10.0.1.0/24)
Exporter les Résultats de la Recherche
Une fois votre recherche terminée, vous pouvez exporter les résultats de la recherche vers un fichier CSV que vous pouvez télécharger dans un fichier ZIP. Le fichier ZIP contient le fichier CSV indiquant les résultats de recherche ainsi qu'un fichier texte indiquant les paramètres de recherche.
Pour exporter les résultats de recherche depuis la page Log Search :
- Au-dessus de la section des paramètres de recherche, cliquez sur l'icône CSV.
- Si le fichier n'est pas téléchargé automatiquement, choisissez d'ouvrir ou d'enregistrer le fichier.