Champs propres aux journaux « l_filter », « l_alarm », « l_connection », « l_plugin »

Les champs décrits ci-dessous sont présentés au sein de l'interface Web d'administration du firewall dans les modules Filtrage, Alarmes, Connexions réseaux, et Connexions applicatives(plugin) du menu Journaux d'audit > Journaux et dans les vues Tous les journaux, Trafic réseau, Filtrage, Menaces, Web, E-mails et Événements systèmes du menu Journaux d'audit > Vues.

pri 

Représente le niveau d'alarme.

Valeurs (non personnalisables): « » (emergency), « » (alert), « » (critical), « » (error), « » (warning), « » (notice), « » (information) ou « » (debug).

Priorité

confid

Index du Profil d’inspection de sécurité utilisé.

Valeur de « » à «  ».

Config

slotlevel 

Indique le type de règle ayant déclenché la trace.

Valeurs : « » (implicite), « » (globale), ou « » (locale).

Niveau règles

Valeurs : « Implicite », « Global » ou « Local »

ruleid 

Numéro de la règle de filtrage appliquée.

Exemple: «  », «  » …

Règle

srcif 

Nom interne de l'interface source du flux.

Chaîne de caractères au format UTF-8. Exemple : « Ethernet0 »

Interf. source (ID)

srcifname 

Nom de l'objet représentant l'interface source du flux.

Chaîne de caractères au format UTF-8. Exemple : « out »

Interf. source

srcmac

Adresse MAC de la machine source.

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Adresse MAC Source

ipproto

Nom du protocole au-dessus d'IP (couche transport).

Chaîne de caractères au format UTF-8. Exemple : « tcp »

Protocole Internet

ipv

Version du protocole IP utilisé dans le flux.

Valeurs : « » ou « »

Version IP

proto

Nom du plugin associé. A défaut, nom du service standard correspondant au port de destination. Chaîne de caractères au format UTF-8. Exemple : « http », « ssh »

Protocole

src

Adresse IP de la machine source.

Format décimal. Exemple : « 192.168.0.1 »

Peut être affichée de manière anonyme selon les droits d'accès de l'administrateur.

Source

srcport

Numéro du port TCP/UDP source.

Exemple : « 49753 »

Port source

srcportname

Nom du port « source » si celui-ci est connu.

Chaîne de caractères au format UTF-8. Exemple : « http », « ephemeral_fw_tcp »…

Nom du port source

srcname

Nom de l'objet correspondant à la machine source.

Chaîne de caractères au format UTF-8. Exemple : « poste_client ».

Peut être affiché de manière anonyme selon les droits d'accès de l'administrateur.

Nom de la source

modsrc

Adresse IP translatée de la machine source.

Peut être affiché de manière anonyme selon les droits d'accès de l'administrateur.

Format décimal. Exemple : « 192.168.0.1 »

Adresse source translatée

modsrcport

Numéro du port source TCP/UDP translaté. Exemple : « 80 »

Port source translaté

dst

Adresse IP de la machine destinataire.

Format décimal. Exemple : « 192.168.0.2 »

Destination

dstport

Numéro du port TCP/UDP destination.

Exemple : « 22 »

Port destination

dstportname

Nom de l'objet correspondant au port de destination.

Chaîne de caractères au format UTF-8. Exemple : « ssh »

Nom du port dest.

dstname

Nom ne l'objet correspondant à l'adresse IP de la machine de destination.

Chaîne de caractères au format UTF-8. Exemple : « serveur_intranet »

Nom de destination

origdst

Adresse IP originale de la machine de destination (avant translation ou application d'une connexion virtuelle).

Format décimal. Exemple : « 192.168.0.1 »

Destination orig.

origdstport

Numéro du port TCP/UDP destination original (avant translation ou application d'une connexion virtuelle). Exemple : « 80 »

Port destination orig.

dstif

Nom de l'interface de destination.

Chaîne de caractères au format UTF-8. Exemple : « Ethernet 1 »

Interf. dest. (ID)

dstifname

Nom de l'objet représentant l'interface destination du flux.

Chaîne de caractères au format UTF-8. Exemple : « dmz1 »

Interf. dest.

user

Utilisateur authentifié par le Firewall.

Chaîne de caractères au format UTF-8. Exemple : « Jean.Dupont »

Peut être affiché de manière anonyme selon les droits d'accès de l'administrateur.

Utilisateur

dstcontinent

Continent auquel appartient l'adresse IP de destination de la connexion.

Valeur : le code ISO du continent.

Exemple : dstcontinent=« eu »

Continent destination
dstcountry

Pays auquel appartient l'adresse IP de destination de la connexion.

Format : le code ISO du pays.

Exemple : dstcountry=« fr »

Pays destination
dsthostrep

Réputation des machines cibles de la connexion. Disponible uniquement si la gestion de réputation a été activée pour les machines concernées.

Format : entier non borné.

Exemple : dsthostrep=506

Réputation des machines destination
dstiprep

Réputation de l'adresse IP de destination. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : dstiprep=« spam »

Réputation publique de l'IP en destination
srccontinent

Continent auquel appartient l'adresse IP source de la connexion.

Valeur : le code ISO du continent.

Exemple : srccontinent=« eu »

Continent source
srccountry

Pays auquel appartient l'adresse IP source de la connexion.

Format : le code ISO du pays.

Exemple : srccountry=« fr »

Pays source
srchostrep

Réputation des machines sources de la connexion. Disponible uniquement si la gestion de réputation a été activée pour les machines concernées.

Format : entier non borné.

Exemple : srchostrep=26123

Réputation des machines sources
srciprep

Réputation de l'adresse IP source. Disponible uniquement si cette adresse IP est publique et référencée dans la base de réputation des adresses IP.

Valeur : « anonymizer », « botnet », « malware », « phishing », « tor », « scanner » ou « spam ».

Exemple : srciprep=« anonymizer,tor »

Réputation publique de l'IP source