Log Search (WatchGuard Cloud)

S'applique à : Fireboxes Gérés sur le Cloud, Fireboxes Gérés Localement

Sur la page WatchGuard Cloud Log Search d'un périphérique ou d'un dossier, vous pouvez créer des requêtes de recherche simples ou complexes pour rechercher des détails spécifiques dans les messages de journal. Log Search emploie le Langage de Requête WatchGuard pour rechercher les messages de journal conservés dans WatchGuard Cloud. Après avoir effectué une recherche, vous pouvez exporter les résultats de la recherche vers un fichier que vous pouvez enregistrer pour l'utiliser plus tard en dehors de WatchGuard Cloud.

Effectuer une Recherche depuis la Page Log Search

Les Fireboxes peuvent envoyer différents types de messages de journal en fonction des évènements qui surviennent. Les types de messages de journal sont Trafic, Alarme, Événement, Débogage et Statistiques. Pour de plus amples informations concernant les types de messages de journal, consultez la section Types de Messages de Journal.

WatchGuard Cloud stocke les messages de journal de diagnostic envoyés par un Firebox, mais ils ne sont pas visibles dans Log Manager ou Log Search. Si vous devez résoudre un problème, vous pouvez demander ces messages de journal de diagnostic au Support Technique WatchGuard.

Dans Fireware v12.5.4 et les versions ultérieures, le Firebox envoie des messages de journal de diagnostic à WatchGuard Cloud uniquement lorsque l'Accès à l'Assistance est activé. Pour plus d'informations, consultez Activer l'Accès de l'Assistance.

Pour rechercher des messages de journal dans WatchGuard Cloud :

Connectez-vous à WatchGuard Cloud.
Sélectionnez Surveiller > Périphériques.
Sélectionnez un dossier ou un périphérique.
Pour sélectionner la période des messages de journal, cliquez sur .

Dans la liste des rapports, sélectionnez Journaux > Log Search.
La page Log Search du périphérique sélectionné s'ouvre.

Pour spécifier le type de messages de journal à inclure dans la recherche, sélectionnez le type de message de journal (Journaux de Trafic, journaux d'Alarmes, Journaux d'Événements ou Journaux de Statistiques) dans la liste déroulante située à droite de la page. Pour rechercher tous les types de messages de journal, sélectionnez Tous les Journaux.
Pour répéter une recherche récente, dans la section Recherches de Journal Récentes, cliquez sur une requête.
Dans la zone de texte Rechercher, saisissez le nom d'un champ de message de journal suivi de deux points, ou pour sélectionner un nom de champ dans une liste, cliquez sur .
Après le nom du champ, saisissez le texte de la requête de recherche.
Pour rechercher un mot partiel, vous devez comprendre le caractère générique * après celui-ci. Pour de plus amples informations sur la création d'une requête, consultez Langage de Requête WatchGuard.

Votre requête peut inclure n'importe quel nom de champ figurant dans un message de journal du Firebox. Pour de plus amples informations à propos de certains messages de journal générés par votre Firebox, consultez le Catalogue des Journaux WatchGuard disponible à la page Documentation du Produit.

WatchGuard Cloud ne prend pas en charge les recherches avec caractères génériques dans l'ensemble des champs et des types de messages de journal. Vous devez sélectionner un type de message de journal et inclure un nom de champ lorsque vous souhaitez utiliser un caractère générique.

Pour lancer la recherche, appuyez sur Entrée ou cliquez sur .
La page est mise à jour pour afficher les messages de journal du ou des périphériques sélectionnés correspondant à votre recherche. Si vous avez sélectionné un dossier, la colonne Périphérique s'affiche dans les résultats. Si vous avez sélectionné un FireCluster, les colonnes Périphérique et Numéro de Série s'affichent dans les résultats.

Si les critères de recherche sont trop larges, des résultats partiels s'affichent au bout de 30 secondes. Vous devez réduire la période ou saisir des critères de recherche plus spécifiques.

Si vous sélectionnez une date ou une plage de dates incluant des messages de journal datant de plus de 10 jours, un message de notification apparaît. Pour recevoir une notification lorsque la recherche est effectuée, cliquez sur Prévenez-Moi.

Messages de Journal du Firebox

Les messages de journal du Firebox sont constitués de différents champs séparés par des virgules. Chaque champ contient des informations spécifiques concernant un événement et peut inclure un nom de champ et une valeur. Pour de plus amples informations concernant les messages de journal du Firebox, consultez Lire un message de journal.

À titre d'exemple, dans les résultats de recherche des journaux de WatchGuard Cloud, un message de journal peut ressembler à celui-ci :

FWAllowEnd, disp=Allow, pri=6, policy=Any From Firebox-00, protocol=dns/udp, src_ip=127.0.0.1, src_port=57844, dst_ip=124.0.0.1, dst_port=53, src_intf=Firebox, rc=106, duration=180, rcvd_bytes=410, sent_bytes=156, 3000-0151

Dans un message de journal, un signe égal (=) sépare les noms de champ et les valeurs. Dans une requête Log Search, utilisez le caractère deux points (:) pour séparer les noms et les valeurs des champs.

Langage de Requête WatchGuard

Vous pouvez utiliser le Langage de Requête WatchGuard pour créer des recherches simples ou complexes parmi les messages de journal de votre Firebox. Pour obtenir de meilleurs résultats, indiquez un nom de champ figurant dans un message de journal du Firebox. Pour sélectionner le nom du champ dans une liste, dans la zone de texte de recherche, cliquez sur .

Votre requête peut inclure les éléments suivants :

Noms des champs — Spécifiez le nom de champ figurant dans le message de journal du Firebox. Cette étape est nécessaire pour toutes les recherches d'un Firebox possédant Basic Security Suite. Elle est également nécessaire pour les recherches sur un Firebox possédant Total Security Suite et comprenant des journaux datant de plus de 10 jours.
Termes de la recherche — Après avoir saisi ou sélectionné un nom de champ, spécifiez les valeurs à rechercher.
Caractères Génériques — Trouve n'importe quelle suite de caractères. Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal.
Opérateurs — Indiquez la manière dont chaque terme de recherche élargit ou restreint la recherche.
Parenthèses — Spécifiez l'ordre des opérations au sein d'une requête contenant plusieurs opérateurs.

Les sections ci-dessous expliquent ces éléments en détail.

Noms des Champs

Nous vous recommandons vivement d'inclure dans votre requête un nom de champ figurant dans un message de journal du Firebox. Si votre recherche inclut des messages de journal datant de plus de 10 jours ou si votre recherche porte sur des messages de journal d'un Firebox possédant Basic Security Suite et que vous ne spécifiez pas de nom de champ, une liste de suggestions de recherche de noms de champ s'affiche sur la page.

Screenshot of the Log Search page with search assistance

Les noms des champs disponibles dépendent du type de messages de journal que vous sélectionnez. Pour obtenir la liste complète des noms de champs disponibles pour le type de journal sélectionné, dans la zone de texte de recherche, cliquez sur .

Termes de la Recherche

Votre requête peut inclure un ou plusieurs termes de recherche.

Les termes de recherche ne sont pas sensibles à la casse. À titre d'exemple, si votre requête spécifie Utilisateur1, les résultats de recherche peuvent inclure les messages de journal comprenant le texte utilisateur1 comme Utilisateur1.
Si votre terme de recherche comprend un espace, celui-ci est considéré comme partie intégrante du texte à rechercher.
Vous devez utiliser le caractère générique * pour rechercher une partie d'un mot dans les messages de journal. Par exemple, pour rechercher les messages de journal d'un utilisateur dont le nom commence par "A", recherchez "src_user:a*".
Pour obtenir de meilleurs résultats, chaque terme de recherche doit comprendre un nom de champ et une valeur. Spécifiez le nom du champ et la valeur à rechercher. Les noms de champ sont toujours en minuscules. Par exemple : src_ip:10.0.10.1.
Si votre requête emploie des termes spécifiques tels que bovpn, ssl, auth, virus ou ips et qu'aucun résultat ne s'affiche, tentez de trouver ces événements dans le message. Par exemple, pour rechercher les événements "auth" dans un message, recherchez msg:*auth*. Pour obtenir d'autres exemples, consultez la section Exemples de Requêtes.

Caractères Génériques

Les termes de recherche prennent en charge le caractère générique *, qui permet de trouver n'importe quelle suite de caractères dans un champ de message de journal.

Les termes de recherche sans nom de champ n'acceptent les caractères génériques qu'en milieu et en fin de terme. Les caractères génériques en début de terme ne sont pas pris en charge.
Les termes de recherche comprenant un nom de champ prennent en charge les caractères génériques en début, au milieu et en fin de terme.
Une requête de recherche complète peut contenir au maximum quatre caractères génériques.

Opérateurs

Dans votre requête, vous pouvez spécifier un ou plusieurs éléments à rechercher en les séparant par l'un des opérateurs suivants :

OR — Élargit la recherche. Les résultats de recherche renvoient les messages de journal contenant l'un ou l'autre élément.
AND — Restreint la recherche. Les résultats de recherche renvoient uniquement les messages de journal contenant les deux éléments.
NOT — Restreint la recherche. Les résultats de recherche excluent les messages de journal contenant ce terme. S'il ne s'agit pas du premier terme de la recherche, vous devez le faire précéder de AND ou OR.

Les opérateurs de recherche doivent être écrits en majuscules.

Parenthèses

Dans une requête comprenant plusieurs opérateurs, vous pouvez utiliser des parenthèses pour regrouper les éléments que vous souhaitez évaluer en premier. Vous pouvez utiliser un niveau de parenthèses pour regrouper les éléments d'une requête. Par exemple : disp:allow AND (dst_ip:10.0.10.2 OR dst_ip:10.0.10.3)

Exemples de Requêtes

Lorsque vous créez une recherche, commencez par des recherches partielles simples puis élargissez les critères de recherche si nécessaire.

Le filtre du type de message de journal est configuré par défaut avec la valeur Journaux de Trafic. Pour rechercher dans tous les messages de journal, sélectionnez Tous les Journaux.

Rechercher un FQDN dans les messages de journal :

dstname:www.example.net

Rechercher les messages de journal d'événements dont le champ msg: contient un événement lié à un virus :

msg:*virus*

Rechercher les messages de journal d'événements comprenant un événement d'authentification VPN SSL :

msg:auth*

Rechercher les messages de journal d'événements dont le champ msg: contient un événement BOVPN disponible ou indisponible (renouvellement de la clé) :

msg:*bovpn*

Rechercher les messages de journal d'évènements dont la valeur du champ msg: commence par le texte DHCP :

msg:DHCP*

Rechercher les messages de journal d'évènements dont une valeur de champ msg: commence par le texte DHCP et contient l'adresse mac : ac:00:bb:cc:dd:ee

msg:DHCP*ac:00:bb:cc:dd:ee*

Rechercher les messages de journal comprenant des événements APT :

msg:APT*

Rechercher les messages de journal dont le nom de la stratégie commence par outgoing :

policy:outgoing*

Rechercher les messages de journal dont le nom de la stratégie est Unhandled External Packet-00 :

policy:unhandled external packet-00

Rechercher les messages de journal dont le nom de la stratégie commence par unhandled et dont l'adresse IP de destination n'est pas 255.255.255.255 :

policy:unhandled* AND NOT dst_ip:255.255.255.255

Rechercher les messages de journal comprenant la valeur exacte http/tcp ou https/tcp dans le champ de protocole :

pr:http/tcp OR pr:https/tcp

Rechercher les messages de journal dont l'adresse IP source est 10.0.2.1 :

src_ip:10.0.2.1

Recherchez les messages de journal dont l'adresse IP source appartient au réseau 10.168.150.0/24 :

src_ip:>10.168.150.0 AND src_ip:<10.168.150.255

Recherchez les messages de journal dont l'adresse IP source se trouve sur les réseaux 10.0.2.0/24 ou 10.0.1.0/24 et dont le FQDN de destination est Microsoft :

dstname:microsoft* AND (src_ip:10.0.2.* OR src_ip:10.0.1.*)

Lorsque les résultats de recherche sont trop volumineux, WatchGuard Cloud ne les retourne pas. Vous devriez réduire la période ou saisir des critères de recherche plus spécifiques.

Exporter les Résultats de la Recherche

Une fois votre recherche terminée, vous pouvez exporter les résultats de la recherche vers un fichier .CSV que vous pouvez télécharger dans un fichier .ZIP. Le fichier .ZIP contient le fichier .CSV indiquant les résultats de recherche ainsi qu'un fichier texte indiquant les paramètres de recherche.

Le fichier .CSV peut contenir jusqu'à 20 000 messages de journal. Le fuseau horaire figurant dans le fichier .CSV correspond à l'heure locale de l'ordinateur du client, et non au temps universel coordonné.

Pour exporter les résultats de recherche depuis la page Log Search :

Au-dessus de la section des paramètres de recherche, cliquez sur l'icône CSV.
Si le fichier n'est pas téléchargé automatiquement, choisissez d'ouvrir ou d'enregistrer le fichier.

Rubriques Connexes

Log Manager (WatchGuard Cloud)

Liste des Rapports des Périphériques WatchGuard Cloud

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.