Logs - Journaux

Pour ne pas afficher ce module dans l'interface Web d'administration du firewall, décochez la case Afficher le menu "Logs - Journaux" (menu Préférences > Paramètres des traces).

Les actions

Barre d’outils n°1 : période

Échelle de temps

Ce champ permet le choix de l’échelle de temps : Dernière heure, Aujourd’hui,
7 derniers jours, 30 derniers jours et plage personnalisée.

  • La dernière heure est calculée jusqu’à la minute précédant celle en cours.
  • La vue Aujourd’hui couvre la journée en cours, depuis la veille à minuit jusqu’à la minute précédant l’actualisation des données.
  • La vue Hier couvre la journée précédente.

  • Les 7 et les 30 derniers jours concernent la période achevée la veille à minuit.
  • La plage personnalisée permet de définir une période déterminée, qui couvre la journée entière, sauf pour le jour en cours où les données courent jusqu’à la minute précédente.

Le bouton est un raccourci permettant de choisir une plage personnalisée.

http://testdoc.netasq.com/firewall/guide/v91/fr/ImagesExt/image1496_2.png Actualiser

Ce bouton permet de rafraîchir les données affichées.

 

Barre d’outils n°2 : recherche simple ou avancée

Changez de mode de Recherche par le bouton "Recherche simple" / "Recherche avancée".

Mode Recherche simple

Par ce mode de recherche par défaut, le boîtier recherche la valeur saisie dans tous les champs des fichiers de traces affichés.

Cette recherche ne porte que sur les valeurs des champs, et non sur les noms des champs. Par exemple, pour filtrer les connexions bloquées, il faut entrer la valeur « block » dans le champ de recherche, et non « action=block ». Pour les pays source ou destination, utilisez le code pays (exemple : fr, en, us...).

(Champ de saisie de la valeur recherchée)

Pour créer la recherche, vous pouvez saisir un texte dans le champ de saisie ou y glisser la valeur depuis un champ des résultats. Il est également possible de glisser le nom d'un objet directement dans ce champ depuis le module Objets réseau.

Mode Recherche avancée

En mode avancé, vous pouvez combiner plusieurs critères de recherche. Ces critères doivent être remplis conjointement pour être affichés, car les critères de recherche se cumulent.

Cette combinaison de critères de recherche peut alors être enregistrée en tant que « filtre ». Ceux-ci sont gardés en mémoire et peuvent être réinitialisés via le module Préférences de l’interface d’administration.

(menu déroulant Filtres)

Sélectionnez un filtre pour lancer la recherche correspondante. La liste propose les filtres enregistrés au préalable et pour certaines Vues, des filtres prédéfinis. La sélection de l’entrée (Nouveau filtre) permet de réinitialiser le filtre en supprimant la sélection de critères.

Enregistrer

Enregistrez en tant que filtre personnalisé, les critères définis dans le panneau Filtrage décrit ci-après. Vous pouvez enregistrer un nouveau filtre par le bouton "Enregistrer sous" sur la base d’un filtre existant ou d’un filtre prédéfini proposé dans certaines Vues. Une fois un filtre enregistré, il est automatiquement proposé dans la liste des filtres.

Supprimer

Supprimez un filtre personnalisé, enregistré précédemment.

Panneau FILTRAGE

Vous pouvez ajouter un critère de recherche soit en cliquant sur le bouton Ajouter un critère, soit en glissant la valeur depuis un champ des résultats dans le panneau.

La fenêtre de création propose soit d’appliquer, soit d’ajouter le critère défini. Le bouton Ajouter conserve la fenêtre ouverte afin de définir successivement plusieurs critères avant de lancer la recherche.

Ajouter un critère

Pour ajouter un critère de recherche, cliquez sur ce bouton pour ouvrir la fenêtre de d’édition d’un critère, proposant les 3 éléments suivants à renseigner :

  • Un Champ à sélectionner dans lequel la valeur va être recherchée. Le choix any permet une recherche dans l’ensemble des valeurs contenues dans les traces.
  • On retrouve dans cette liste le nom traduit du champ et entre parenthèses, le nom d’origine (token). Les champs principaux sont affichés en noir et les champs secondaires en gris, correspondant à l’affichage du bouton Afficher / Résumer tous les éléments.
  • Un Critère de tri qui sera associé à la valeur recherchée. Ces opérateurs sont : égal à, différent de, contient, ne contient pas, commence par et termine par.
  • Une Valeur à rechercher selon les critères précédemment choisis. Pour les pays source ou destination, utilisez le code pays (exemple : fr, en, us...).

Une fois le critère crée, il est ajouté dans ce panneau Filtrage. Ce critère ajouté permet :

  • sa suppression via l’icône . La suppression d’un critère relance automatiquement la recherche du filtre modifié, sans ce critère.
  • son édition par une fenêtre identique à sa création, via l’icône . La fenêtre d’édition ne propose que d’appliquer la recherche.

Barre d'outils n°3 : actions

Afficher tous les éléments / Résumer les éléments

Affichage de l’ensemble des champs ou uniquement des champs principaux.

Exporter les données Matérialisé par le symbôle , ce bouton permet de télécharger les données au format CSV. Les valeurs sont séparées par des virgules et enregistrées dans un fichier texte. Cela permet la réouverture du fichier dans un logiciel tableur comme Microsoft Excel.
Imprimer Matérialisé par le symbole , ce bouton permet d’accéder à la fenêtre d’aperçu pour l’impression des traces contenues dans le journal. Le bouton Imprimer envoie le fichier au module d’impression du navigateur qui permet de choisir entre l’impression ou la génération d’un fichier PDF.
Réinitialiser l'affichage des colonnes

Affiche uniquement les colonnes proposées par défaut lors de la première consultation de la trace ou de la vue concernée, ou annule les modifications de largeur des colonnes.

Informations

Au-dessus de la grille présentant les traces est affichée la période interrogée, selon la valeur choisie dans le menu déroulant de la 1ère barre d’outils. Cette période est affichée sous la forme :

RECHERCHE DU - DD/MM/AAAA HH:MM:SS - AU - DD/MM/AAAA HH:MM:SS

Sous la grille des traces sont indiquées les informations suivantes :

  • Numéro de la page affichée,
  • Nombre de traces affichées dans la page,
  • Période couverte par les traces affichées dans la page,
  • Date et Heure de l’UTM (information utile dans le cas où le poste de l’administrateur n’a pas les mêmes paramètres).

Afficher les détails d'une ligne de journal ou de vue

Un clic sur une ligne de journal ou de vue affiche automatiquement le détail de cette ligne dans une fenêtre à droite de la grille. Un bouton permet de masquer () ou d'afficher () cette fenêtre.

Les interactions

Quel que soit le mode d’affichage (ligne/grille), les valeurs affichées dans la fenêtre de consultation  des traces proposent des interactions classées en deux catégories : ACTION et CONFIGURATION. Par un clic droit, un menu propose les actions suivantes :

Mode Recherche simple

ACTION :

  • Ajouter cette valeur comme critère de recherche : raccourci pour créer un critère recherchant la valeur dans le champ correspondant et dans l’ensemble du journal ou de la vue Ce type de recherche est identique au glisser/déposer de la valeur.

CONFIGURATION :

  • Accéder à la règle de sécurité correspondante : raccourci pour ouvrir le module Filtrage et NAT et surligner la règle de sécurité correspondant à la ligne de trace sélectionnée.

Mode Recherche avancée 

ACTION :

  • generic_equal_16x16 Ajouter un critère pour ce champ / valeur : raccourci pour créer un critère recherchant la valeur dans le champ correspondant et dans l’ensemble du journal ou vue affichées. Pour éviter la répétition de la valeur recherchée, la colonne correspondante est alors automatiquement masquée en mode d’affichage par grille. Ce type de recherche est identique au glisser / déposer de la valeur.
  • generic_different_16x16 Ajouter un critère de différence à cette valeur : raccourci pour créer un critère recherchant toute valeur différente de celle sélectionnée dans le champ correspondant et dans l’ensemble du journal ou vue affichées.

CONFIGURATION :

  • Accéder à la règle de sécurité correspondante : raccourci pour ouvrir le module Filtrage et NAT et surligner la règle de sécurité correspondant à la ligne de trace sélectionnée.

Adresses IP et objets machine

ACTION :

  • Rechercher cette valeur dans la vue "Tous les journaux" : raccourci pour ouvrir la vue "Tous les journaux" avec un filtre sur la valeur sélectionnée.
  • Vérifier cette machine : indique dans quelles règles de filtrage ou de NAT cette machine est utilisée.
  • Afficher les détails de la machine : ouvre une fenêtre présentant un certains nombre d'informations complémentaires sur la machine sélectionnée. Ces informations sont les suivantes :
  • Réputation de l'adresse IP publique,
  • Géolocalisation,
  • Réputation de la machine,
  • Classification de l'URL (à laquelle s'est connectée la machine),
  • Vulnérabilités,
  • Applications (navigateurs Internet, clients de messagerie ...),
  • Services,
  • Informations (Système d'exploitation détecté,...),
  • Délai de réponse au Ping et chemin réseau (Traceroute) pour joindre la machine.
  • Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro.
  • Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine). Les objets ainsi sélectionnés sont rejetés par le firewall pendant une durée choisie dans le sous-menu de cette action :
  • Pour 1 minute,
  • Pour 5 minutes,
  • Pour 30 minutes,
  • Pour 3 heures.

    Une fois ce délai de quarantaine écoulé, l'objet considéré est de nouveau autorisé à traverser le firewall en respect de la politique de sécurité active.

CONFIGURATION :

  • action_add_object_16x16 Ajouter la machine à la base objet et/ou l’ajouter à un groupe : cette option permet de créer une machine et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, une machine identifiée comme vulnérable peut par exemple, être ajoutée à un groupe ayant un profil de protection renforcé (cf. Note Technique Sécurité collaborative).
    Cette option apparaît sur les champs contenant des adresses IP (source, destination) ou des noms d'objet (nom de la source, nom de la destination). Une fenêtre s’affiche, permettant :
  • d’enregistrer l’objet dans la base s’il s’agit d’une adresse IP,
  • de sélectionner l’objet approprié si l’adresse IP correspond à plusieurs objets,
  • de l'ajouter à un groupe existant. Ce groupe peut correspondre à une mise en quarantaine d’objets vulnérables préétablie.

 

En plus des interactions listées ci-dessus, le survol d'une adresse IP source ou du nom d'une machine source entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit d'accès complet aux logs) :

  • Nom de la machine si celle-ci est définie dans la base objets,
  • Adresse IP de la machine,
  • Système d'exploitation de la machine,
  • Nombre de vulnérabilités détectées pour la machine.

URLs

ACTION :

  • Rechercher cette valeur dans la vue "Tous les journaux" : raccourci pour ouvrir la vue "Tous les journaux" avec un filtre sur la valeur sélectionnée.
  • Afficher les détails de la machine : ouvre une fenêtre présentant un certains nombre d'informations complémentaires sur la machine sélectionnée. Ces informations sont les suivantes :
  • Réputation de l'adresse IP publique,
  • Géolocalisation,
  • Réputation de la machine,
  • Classification de l'URL (à laquelle s'est connectée la machine),
  • Vulnérabilités,
  • Applications (navigateurs Internet, clients de messagerie ...),
  • Services,
  • Informations (Système d'exploitation détecté,...),
  • Délai de réponse au Ping et chemin réseau (Traceroute) pour joindre la machine.
  • Réinitialiser le score de réputation de cet objet : en cliquant sur ce menu, le score de réputation de l'objet sélectionné est remis à zéro.
  • Placer cet objet en liste noire : permet de positionner une machine, une plage d'adresses IP ou un réseau en liste noire (quarantaine). Les connexions issues ou à destination de l'objet ainsi sélectionné sont rejetées par le firewall pendant une durée choisie dans le sous-menu de cette action :
  • Pour 1 minute,
  • Pour 5 minutes,
  • Pour 30 minutes,
  • Pour 3 heures.

    Une fois ce délai de quarantaine écoulé, l'objet considéré est de nouveau autorisé à émettre des connexions ou en être destinataire en respect de la politique de sécurité active.

CONFIGURATION :

  • action_add_object_16x16Ajouter la machine à la base Objet et/ou l’ajouter à un groupe : cette option permet de créer une machine et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, une machine identifiée comme vulnérable peut par exemple, être ajoutée à un groupe ayant un profil de protection renforcé (cf. Note Technique Sécurité collaborative).
    Cette option apparaît sur les champs contenant des adresses IP (source, destination) ou des noms d'objet (nom de la source, nom de la destination). Une fenêtre s’affiche, permettant :
  • d’enregistrer l’objet dans la base s’il s’agit d’une adresse IP,
  • de sélectionner l’objet approprié si l’adresse IP correspond à plusieurs objets,
  • de l'ajouter à un groupe existant. Ce groupe peut correspondre à une mise en quarantaine d’objets vulnérables préétablie.
  • Description : action_add_object_16x16 Ajouter l’URL à un groupe : cette option permet d’ajouter l’URL à un groupe depuis un fichier de traces. Ainsi, une URL identifiée comme malicieuse ou indésirable peut, par exemple, être ajoutée à un groupe personnalisé faisant l’objet de filtrage d’URL.
    Cette option apparaît sur les champs contenant des URLs (nom de la destination). Une fenêtre s’affiche, permettant :
  • d'ajouter l’URL à un groupe existant. Ce groupe peut, par exemple, correspondre à une catégorie d’URL interdites.

En plus des interactions listées ci-dessus, le survol d'une URL destination entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit d'accès complet aux logs) :

  • Nom du domaine,
  • Adresse IP correspondante.

Ports

CONFIGURATION :

  • Description : action_add_object_16x16 Ajouter le service à la base objet et/ou l’ajouter à un groupe : cette option permet de créer un service et/ou de l’ajouter à un groupe depuis un fichier de traces. Ainsi, un service identifié comme vulnérable ou indésirable peut par exemple, être ajouté à un groupe de services interdits dans les règles de filtrage.
    Cette option apparaît sur les champs contenant des numéros de ports ou des noms de services (port source, port destination, nom du port source, nom du port dest.). Une fenêtre s’affiche, permettant :
    • d’enregistrer l’objet dans la base s’il s’agit d’un numéro de port,
    • de l'ajouter à un groupe existant. Ce groupe peut correspondre à un groupe de services interdits.

En plus des interactions listées ci-dessus, le survol d'un nom de port entraîne l'affichage d'une info-bulle reprenant les informations suivantes (si l'administrateur a acquis le droit d'accès complet aux logs) :

  • Nom de l'objet port,
  • Numéro ou plage de ports correspondants,
  • Protocole,
  • Commentaire éventuel défini dans l'objet port.

Paquets réseau

ACTION

  • Exporter le paquet : cette option permet d'exporter au format pcap le paquet capturé afin de l'analyser à l'aide d'outils comme Wireshark. Pour provoquer la capture d'un paquet, la case Capturer le paquet responsable de la remontée de l'alarme doit avoir été cochée dans la configuration de l'alarme concernée (module Protection applicative > Applications et protections > colonne Avancé > clic sur Configurer).

Les Vues

  • Tous les journaux

Cette vue affiche l’ensemble des journaux : Administration, Alarmes, Authentification, Connexions réseaux, Filtrage, Proxy FTP, VPN IPsec, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Evènements systèmes, Vulnérabilités, Proxy HTTP et VPN SSL.

Description : info NOTE 

Si l'utilisateur n'a pas le droit admin, le journal Administration ne sera pas comptabilisé dans cette vue.

 

  • Trafic réseau

Cette vue affiche les journaux Connexions réseaux, Filtrage, Proxy FTP, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Proxy HTTP et VPN SSL.

Deux filtres prédéfinis sont proposés recherchant le trafic IPv4 et le trafic IPv6.

  • Alarmes

Cette vue affiche le journal Alarmes selon une certaine catégorisation; ce journal affiche uniquement les traces dont la catégorie d'appartenance de l'alarme n’est pas filter.

Trois filtres prédéfinis sont proposés recherchant les vulnérabilités de type Application (classification=1), Malware (classification=2) ou Protection (classification=0).

  • Web

Cette vue affiche les journaux Connexions réseaux, Connexions applicatives et Proxy HTTP selon certaines catégorisations :

  • Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est HTTP, HTTPS ou HTTP_PROXY.
  • Le  journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est HTTP ou HTTPS.

Un filtre prédéfini est proposé recherchant les Virus détectés.

  • Vulnérabilités

Cette vue affiche le journal Vulnérabilités.

Deux filtres prédéfinis sont proposés recherchant les Vulnérabilités de type Client (targetclient=1) et de type Serveur (targetserver=1)

  • E-mails

Cette vue affiche les journaux Connexions réseaux, Connexions applicatives, Proxy POP3 et Proxy SMTP selon certaines catégorisations :

  • Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.
  • Le journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.

Deux filtres prédéfinis sont proposés recherchant les Virus détectés (virus=infected) et les Spam détectés (spamlevel renseigné et différent de 0)

  • VPN

Cette vue affiche les journaux VPN IPsec, Evènements systèmes et VPN SSL selon une certaine catégorisation ; le journal Evènements systèmes affiche uniquement les traces dont le message de référence à l'action est PPTP.

  • Évènements systèmes

Cette vue affiche les journaux Alarmes et Evènements systèmes selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est system.

Deux filtres prédéfinis sont proposés recherchant les niveaux Mineur (pri = 4) ou Majeur (pri = 1).

  • Filtrage

Cette vue affiche les journaux Alarmes et Filtrage selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est filter.

  • Analyse sandboxing

Cette vue affiche le journal Sandboxing.

  • Utilisateurs

Cette vue affiche le journal Authentification.

Les Journaux

Voici la liste de Journaux affichés dans le menu et le nom du fichier de traces correspondant sur le firewall :

Administration

l_server

Alarmes

l_alarm

Authentification

l_auth

Connexions réseaux

l_connection

Filtrage

l_filter

Proxy FTP

l_ftp

VPN IPsec

l_vpn

Connexions applicatives (plugin)

l_plugin

Proxy POP3

l_pop3

Proxy SMTP

l_smtp

Proxy SSL

l_ssl

Evénements systèmes

l_system

Vulnérabilités

l_pvm

Proxy HTTP

l_web

VPN SSL

l_xvpn

Sandboxing l_sandboxing

Description : info NOTE 

Si l'utilisateur n'a pas le droit admin, le journal Administration ne sera pas accessible.

Description : info NOTE 

En cas de changement d’heure du boitier, une ligne jaune notifiant ce changement est affichée dans chaque trace interrogée. Cette ligne est placée dans la trace au moment où ce changement a eu lieu.

 

En conséquence, la période affichée ne correspondra alors plus forcément au nombre d’heures attendues. Par exemple, si le boitier a reculé son horloge d’une heure, l’affichage du dernier jour présentera les traces des 25 dernières heures. De même, dans le cas de la recherche d’une heure commune, celle-ci sera effectuée dans l’ensemble des traces, soit avant et après le changement d’heure du boîtier.