Champs spécifiques au journal « l_alarm »

Les champs décrits ci-dessous sont présentés au sein de l'interface Web d'administration du firewall dans le module Alarmes du menu Journaux d'audit > Journaux et dans les vues Tous les journaux, Menaces et Evénements systèmes du menu Journaux d'audit > Vues.

action

Comportement associé à la règle de filtrage.

Valeur : « pass » ou « block ».

Action

msg

Message textuel expliquant l'alarme.

Chaîne de caractères au format UTF-8. Exemple : « Sonde de port »

Message

class

Information sur la catégorie d'appartenance de l'alarme.

Chaîne au format UTF-8. Exemple : « protocol », « system », « filter »…

Contexte

classification

Numéro de code indiquant l'appartenance à une catégorie d'alarmes.

Exemple : « »

Classification

Exemple : « Application »

pktlen

Taille en octets du paquet réseau à l’origine d’une remontée d’alarme.

Exemple : « 133 »

Taille du paquet

pktdumplen

Taille en octets du paquet capturé et destiné à une analyse approfondie par un outil tiers. Cette valeur peut différer de celle du champ « pktlen ».

Exemple : « 133 »

Taille du paquet capturé

pktdump

Paquet réseau capturé, encodé en hexadécimal, destiné à une analyse approfondie par un outil tiers.

Exemple : « 450000321fd240008011c2f50a00007b0a3c033d0035c »

Paquet capturé

alarmid

Identifiant Stormshield Network de l'alarme.

Format décimal. Exemple : « 85 »

Alarme ID

repeat

Nombre d’occurrences de l'alarme sur un temps donné.

Format décimal. Exemple : « »

Répétition

icmpcode

Numéro de code du message icmp.

Exemple : « » (signifiant « Destination host unreachable »).

Code ICMP

icmptype

Numéro du type du message icmp.

Exemple : « » (signifiant « Destination unreachable »).

Type ICMP
domain

Méthode d'authentification utilisée ou annuaire LDAP auquel appartient l'utilisateur authentifié par le Firewall.

Chaîne de caractères au format UTF-8.

Exemple : domain=« documentation.stormshield.eu »

Méthode ou annuaire
risk

Risque lié à la connection. Cette valeur participe au calcul du score de réputation de la machine source de la connexion.

Valeur : entre 1 (risque faible) et 100 (risque très élevé).

Exemple : risk=20

Risque