Événements

Date et heure de génération de l'enregistrement de la ligne dans le fichier de log à l'heure locale du firewall.

Indication du type de traces. (les types de traces possibles sont : Alarme, Plugin, Connexion, Web, SMTP, FTP, POP3, Filtrage).

Action, associé à la règle de filtrage et appliquée sur le paquet. (Exemples : Bloquer/Passer…)

Détermine le niveau de l’alarme. Les valeurs possibles sont :

• 0 : emergency
• 1 : alert
• 2 : critical
• 3 : error
• 4 : warning
• 5 : notice
• 6 : information
• 7 : debug

Nom du profil d’inspection applicative ayant remonté l’événement

Nom de la politique de filtrage SMTP, filtrage d’URL ou filtrage SSL ayant remonté l'alarme.

Identifiant de l’utilisateur authentifié (ftp), adresse mail de l’émetteur (SMTP), identifiant de l’utilisateur si authentification active (WEB).

Adresse IP ou nom de l’objet correspondant à la machine source du paquet qui a déclenché l'alarme.

Numéro du port source impliqué, affiché en numérique.

Adresse IP ou nom de l’objet correspondant à la machine destinataire du paquet qui a déclenché l'alarme.

Numéro du port de destination du service ou nom de l’objet correspondant au port du service de la machine de destination s’il existe et demandé pour cette connexion.

Description de l’événement en rapport avec le log. Cette colonne regroupe à elle seule certaines des informations provenant des autres colonnes.

Cette colonne fait apparaître l’icône précisant le type de détection selon les catégories Applications, Malwares et Protections.

Numéro de série du firewall ou nom (si connu) à l’origine de l’événement.

Date UTC (en remplacement de l’appellation GMT)

Date « locale » du début d’un événement.

Date UTC du début d’un événement (une connexion).

Fuseau horaire du firewall.

Numéro de la règle de filtrage impliquée dans la remontée de l'alarme.

Protocole du paquet qui a déclenché l'alarme.

Identifiant permettant le suivi des connexions filles.

Nom de l'interface du firewall sur laquelle s'est déclenché l'événement. (Carte réseau de l’Interface Source.)

Adresse IP de la machine source du paquet qui a déclenché l’événement.

Numéro de port de la source du service ou nom de l’objet correspondant au port du service de la machine source (uniquement si TCP/UDP).

Carte réseau de l’interface de destination.

Adresse IP de la machine destinataire du paquet qui a déclenché l’événement.

Méthode d’authentification employée.

Indication d’une alarme sensible ou non. Cette alarme est émise lorsque le système de prévention d’intrusion détecte un paquet sensible et pour lequel il a été configuré en mode détection d’intrusion. Si l’alarme est sensible, dans ce cas, une icône en forme de point d’exclamation suivie du texte « Oui » s’affiche, sinon, c’est « Non » qui est indiqué. Lorsque l’alarme est bloquée, l’icône apparaît en grisé (elle est désactivée).

NOTE

Seules les alarmes protocolaires peuvent être qualifiées de « sensible ». Pour les alarmes qui ne sont pas de cette classe, la colonne sera vide.

Indication du nombre d’occurrences d’un événement dans un délai défini.

Indication du numéro de l’alarme.

Texte informatif sur la catégorie d’appartenance de l’alarme (Système, Protocole, Filtrage,…)

Code (nombre) indiquant l’appartenance à une catégorie d’alarmes. Cette colonne fait également apparaître le type de détection selon les catégories Applications, Malwares et Protections.

VOIP : Indication de l’appelant

VOIP : Indication de l’appelé.

Temps de la connexion en secondes.

Nombre de KB envoyés au cours de la connexion.

Nombre de KB reçus au cours de la connexion.

Commande identifiée du protocole.

• FTP : PUT, MPUT, GET, DELETE,
• HTTP : GET, PUT, POST,
• EDONKEY : SENDPART
• POP3 : RETR, LIST,
• FTP : DELETE, LIST,

Résultat de l’opération dans le protocole (exemple : 404 qui indique une erreur).

Paramètre de l'opération.

Catégorie web d’appartenance du site web demandé.

Niveau de spam. : 0 (Message non spam) 1,2 et 3 (spam) x (erreur dans le traitement du message) et ? (la nature du message n'a pu être déterminée) si l’antispam est activé.

Existence d'un virus ou pas (si l’antivirus activé).

Protocole Internet (tcp ou udp).

Type de flux détecté (audio, vidéo, application,…)

Description détaillée de l’alarme. On retrouve chaque commande passée par le client. Les informations sensibles telles que les mots de passe sont retirées.

Code ICMP dans les logs d’alarmes.

Type ICMP dans les logs d’alarmes.

Indication du paquet réseau IP pour lequel a été déclenchée une alarme. Un clic-droit sur ce paquet permet de le visionner à l'aide d'un analyseur de paquets. L'indication affichée dans cette colonne affiche la des paquets IPv4 (valeur commençant par 45).

La taille des paquets capturés est de 1536 octets.

AVERTISSEMENT
Pour visionner le paquet, un logiciel doit être installé sur votre machine.

Hash appliqué au fichier analysé et permettant de l’identifier dans les différents journaux de traces.

Cet indicateur n'est affiché que lorsqu'un fichier analysé par le sandboxing a été reconnu comme malveillant. Il se présente alors sous la forme d'un score compris entre le seuil de détection d'un fichier malicieux (fixé par défaut à 80) et 100.

Catégorie de réputation de l'adresse IP publique à l'origine du trafic. Cette colonne ne contient des données que si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Les valeurs possibles sont : "anonymizer", "botnet", "malware", "phishing", "tor", "scanner" ou "spam".

Catégorie de réputation de l'adresse IP publique destinataire du flux. Cette colonne ne contient des données que si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Les valeurs possibles sont : "anonymizer", "botnet", "malware", "phishing", "tor", "scanner" ou "spam".