Structure

Contenu des journaux

Les traces sont écrites dans le fichier relatif au type de journal.

Les journaux d’audit sont des fichiers texte au format UTF-8 et respectant le standard WELF. Le format WELF est une suite d'éléments, écrits sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.

Une trace correspond à une ligne terminée par un retour chariot (CRLF).

Exemple

id=firewall time="2011-01-27 13:24:28" fw="V50XXA0G0000002" tz=+0000 startime="2011-01-27 13:24:28" pri=4 srcif="Ethernet0" srcifname="out" ipproto=tcp proto=ssh src=192.168.0.1 srcport=54937 srcportname=ephemeral_fw dst=192.168.1.1 dstport=22 dstportname=ssh dstname=Firewall_out action=pass msg="Interactive connection detected" class=protocol classification=0 alarmid=85

 

Dans les deux sections suivantes, la description des traces se présente de la manière suivante :

Nom du champ

Description du champ

Format du champ. Exemple : « valeur brute »

Position dans le menu Journaux d'audit (logs) de l'interface Web d'administration sous la forme : (menu  > module ) colonne /sous-colonne

Valeur si celle-ci est différente de la valeur brute.

Les journaux « l_server », « l_auth », « l_vpn » et « l_system » contiennent des champs spécifiques au Firewall Stormshield Network. Ces champs particuliers n’appartenant pas au format WELF, sont décrits dans la section Champs spécifiques.

Certains fichiers de traces, comme « l_filterstat » et « l_count », ayant pour vocation le calcul de statistiques, comportent un grand nombre de champs spécifiques.

Ils correspondent donc à un instantané de l'état du Firewall. Ils sont calculés et écrits à intervalle régulier.

Changement d’heure

Lorsque le Firewall subit un changement d'heure, une ligne spécifique est écrite dans tous les journaux.

Elle contient notamment les champs « datechange» et « duration ». La valeur de « datechange » est dans ce cas égale à « 1 » pour refléter le changement d'heure. Le champ « duration » donne quant à lui, l’écart (en secondes) entre l’heure du Firewall, avant et après ce changement.

Les autres champs de cette trace particulière, sont communs (décrits dans la section suivante).

Exemple

id=firewall time="2012-01-01 01:00:00" fw="U800SXXXXXXXXXX" tz=+0100 startime="2012-01-01 01:00:17" datechange=1 duration=-18

Dans le menu Journaux d'audit de l'interface Web d'administration, cette trace apparaît dans l’ensemble des modules, surlignée en jaune.