Présentation

Liste des journaux

Les journaux d’audit sont stockés dans le répertoire /log des Firewalls Stormshield Network.

La liste suivante présente une brève description de chacun d’entre eux :

 

l_alarm

événements liés aux remontées d’alarmes.

l_auth

événements liés à la politique d’authentification.

l_connection 

événements liés aux connexions vers/depuis le Firewall.

l_count 

statistiques concernant l’utilisation de chacune des règles.

l_date 

événements liés aux changements d’heure du Firewall.

l_filter 

événements liés au filtrage de paquets.

l_filterstat 

statistiques concernant l’utilisation du Firewall et de ses ressources.

l_ftp

événements liés au fonctionnement du plugin FTP.

l_monitor

statistiques pour la création de graphes de performances et rapports de sécurité (Interface Web d'administration et Stormshield Network Realtime Monitor).

l_plugin 

événements liés aux traitements effectués par les plugins de l’ASQ.

l_pop3

événements liés au fonctionnement du plugin POP3.

l_pvm 

événements liés au management des vulnérabilités.

l_sandboxing événements liés à l'analyse sandboxing des fichiers

l_server

événements liés à l’administration du Firewall

l_smtp

événements liés au fonctionnement du plugin SMTP.

l_ssl

événements liés au fonctionnement du plugin HTTPS.

l_system

événements liés directement au système (arrêt/redémarrage du Firewall, erreur système, fonctionnement des services …).

l_vpn

événements liés à l’utilisation de connexions via VPN IPSEC.

l_web

événements liés au fonctionnement du plugin HTTP.

l_xvpn

événements liés à l’utilisation de connexions via VPN SSL.

Gestion des journaux

Indexation des fichiers

Les journaux sont scindés en plusieurs fichiers dès lors qu’ils atteignent une taille supérieure à 5 Mo. Lorsqu’un fichier dépasse cette limite, il est clôturé au profit d’un nouveau, et à son nom sont ajoutés les éléments d’informations relatives à son indexation.

La nomenclature des fichiers de traces clos respecte donc la structure suivante :

  • le type d’enregistrement concerné (Exemple: l_filter, l_alarm…),
  • un numéro d’indexation : numéro de fichier sur 8 chiffres (commence à 0),
  • sa date de création : date GMT de la première trace contenue dans le fichier,
  • sa date de cloture : date GMT de la dernière trace contenue dans le fichier,
  • le nombre de traces stockées dans le fichier.

 

Exemple :

REMARQUE

Le nom du fichier de traces courant indique uniquement le type d’enregistrement concerné (Exemple : l_alarm, l_proxy).

REMARQUE

L’indexation des fichiers (gérée de manière incrémentale et commençant à 0) permet de ne pas se baser sur leur dates de création ou de clôture, car ces dernières pouvant être faussées par un changement d'heure du Firewall.