Configurer les logs

Vous pouvez définir quels journaux vous souhaitez que le firewall génère, leur emplacement de stockage, et le niveau de logs à générer.

Il est important de configurer la journalisation de manière optimale pour éviter des logs inutiles. En effet, quand les logs générés sont plus nombreux que les capacités d'écriture sur leur espace de stockage, un espace tampon permet de temporiser cette écriture, mais celui-ci peut également arriver à saturation. Pour anticiper ou résoudre ce type de problèmes, vous pouvez aussi consulter l'article de la base de connaissances Comment résoudre un problème de débordement de logs (en anglais) et ses articles connexes.

Il existe deux types de logs :

  • Les logs d'activité standard qui sont activés par défaut et que vous pouvez configurer via le module Configuration > Notifications > Traces - Syslog - IPFIX.
  • Les logs de filtrage et de NAT qui sont désactivés par défaut et que vous pouvez configurer via le module Configuration > Politique de sécurité > Filtrage et NAT :
    • Dans la fenêtre d'édition d'une règle de filtrage, menu Action, onglet Général, champ Niveau de trace,
    • Dans la fenêtre d'édition d'une règle de NAT, menu Options, champ Niveau de trace.

    Les logs de filtrage et de NAT ne doivent être activés que temporairement pour diagnostiquer des problèmes.

Par défaut, les logs sont stockés en local sur le disque dur ou une carte SD. Ils peuvent aussi être envoyés vers un serveur Syslog ou un collecteur IPFIX.

  1. Rendez-vous dans le module Configuration > Notifications > Traces - Syslog - IPFIX.
  2. Activez l'interrupteur ON/OFF Bouton ON/OFF pour chaque emplacement vers lequel vous souhaitez envoyer les logs : local, Syslog et/ou IPFIX. Par exemple, si vous choisissez de visualiser les logs uniquement à travers un outil de type SIEM, activez un profil Syslog et désactivez le stockage local et le collecteur IPFIX.

    Si vous désactivez le stockage local, seuls les logs les plus récents qui sont stockés dans la RAM (environ 200 logs par catégorie) seront visibles dans l'interface Web d'administration du firewall. Les logs plus anciens ne seront pas affichés.

Par défaut, tous les journaux d'activité standard sont activés et visibles dans l'interface Web d'administration. Seuls les logs de filtrage et de NAT sont désactivés par défaut. Il est recommandé de désactiver les journaux dont vous n'avez pas besoin.

Cette fonctionnalité n'est pas disponible pour les collecteurs IPFIX.

  1. Rendez-vous dans le module Configuration > Notifications > Traces - Syslog - IPFIX.
  2. Pour le stockage local, désactivez certaines familles de logs en double-cliquant dans la colonne Activé du tableau Configuration de l'espace réservé pour les traces. Vous pouvez aussi ajuster les pourcentages d'espace disque à votre convenance.
    Pour le serveur Syslog, désactivez certaines familles de logs en double-cliquant dans la colonne État dans Configuration avancée.
    Les logs désactivés pour le stockage local ne s'affichent pas dans l'interface Web d'administration du firewall.

Pour plus d'informations, reportez-vous à la section Traces-Syslog-IPFIX du Manuel utilisateur.

Par défaut, les flux traités par une règle de filtrage ou de NAT génèrent des logs dans le journal Connexions réseau, ou dans le journal Connexions applicatives si une analyse applicative est menée par un plugin en mode, IPS, IDS. Seules sont journalisées les connexions avec l'action "Autoriser" et ayant leur couche de transport en TCP/UDP.

Afin de vérifier le bon fonctionnement d'une règle de filtrage ou de NAT, vous pouvez générer des logs supplémentaires qui ne sont pas présents dans les autres journaux :

  • Les logs de tous les flux bloqués par une règle de filtrage,
  • Les logs de tous les flux traités par une translation d'adresses (NAT),
  • Les logs des flux directement au-dessus d'IP qui correspondent à une règle de filtrage, qu'ils soient autorisés ou bloqués.

Activez ce mode verbeux avec précaution et seulement le temps de réaliser la vérification, car il génère une grande quantité de logs, dont certains en doublon avec les logs d'activité standard. Il peut entraîner un débordement des logs et des baisses de performances du firewall.

Ce type de logs s'affiche dans le module Monitoring > Logs - Journaux d'audit > Filtrage de l'interface Web d'administration et est stocké dans le fichier journal l_filter.

  1. Rendez-vous dans le module Configuration > Politique de sécurité > Filtrage et NAT.
  2. Double-cliquez dans la colonne Action de votre règle de filtrage. La fenêtre Édition de la Règle s'affiche.
  3. Dans le menu Action :
    • Onglet Général, choisissez le niveau de traces Verbeux (journal de filtrage),
    • Onglet Configuration avancée, zone Traces, choisissez l'emplacement de stockage des logs de la règle. Décochez Disque si vous ne souhaitez pas stocker ce type de logs en local.
    • Onglet Configuration avancée, zone Traces, cochez la case Compter pour produire des statistiques sur le nombre d'exécutions de la règle dans le fichier journal l_count.
  4. Validez l'édition de la règle en cliquant sur OK, puis cliquez sur Appliquer.
  5. Réalisez votre vérification en consultant les vues Trafic réseau ou Filtrage dans l'interface Web d'administration, ou dans le fichier /log/l_filter.
  6. Dans l'onglet Général de la fenêtre d'édition d'une règle de filtrage, remettez le niveau de traces sur la valeur par défaut Standard (journal de connexions).