Champs spécifiques au journal "l_alarm"
Les champs décrits ci-dessous sont présentés au sein de l'interface Web d'administration du firewall dans le module Monitoring > Logs - Journaux d'audit, vues : Tous les journaux, Alarmes, Filtrage et Événements système.
| action | Comportement associé à la règle de filtrage. Valeur : "pass" ou "block". |
| Action | |
| msg | Message textuel expliquant l'alarme. Chaîne de caractères au format UTF-8. Exemple "Sonde de port" |
| Message | |
| class | Information sur la catégorie d'appartenance de l'alarme. Chaîne au format UTF-8. Exemple : "protocol", "system", "filter", … |
| Contexte | |
| classification | Numéro de code indiquant l'appartenance à une catégorie d'alarmes. Exemple : "0" |
| Classification
Exemple : "Application" |
|
| pktlen | Taille en octets du paquet réseau à l’origine d’une remontée d’alarme. Exemple : "133" |
| Taille du paquet | |
| pktdumplen | Taille en octets du paquet capturé et destiné à une analyse approfondie par un outil tiers. Cette valeur peut différer de celle du champ "pktlen". Exemple : "133" |
| Taille du paquet capturé | |
| pktdump | Paquet réseau capturé, encodé en hexadécimal, destiné à une analyse approfondie par un outil tiers. Exemple : "450000321fd240008011c2f50a00007b0a3c033d0035c" |
| Paquet capturé | |
| alarmid | Identifiant Stormshield Network de l'alarme. Format décimal. Exemple : "85" |
| Alarme ID | |
| repeat | Nombre d’occurrences de l'alarme sur un temps donné. Format décimal. Exemple : "4" Disponible depuis : SNS v1.0.0 |
| Répétition | |
| icmpcode | Numéro de code du message icmp. Exemple : "1" (signifiant "Destination host unreachable") Disponible depuis : SNS v1.0.0 |
| Code ICMP | |
| icmptype | Numéro du type du message icmp. Exemple : "3" (signifiant "Destination unreachable") Disponible depuis : SNS v1.0.0 |
| Type ICMP | |
| domain | Méthode d'authentification utilisée ou annuaire LDAP auquel appartient l'utilisateur authentifié par le firewall. Chaîne de caractères au format UTF-8. Exemple : domain=documentation.stormshield.eu Disponible depuis : SNS v3.0.0 |
| Méthode ou annuaire | |
| risk | Risque lié à la connexion. Cette valeur participe au calcul du score de réputation de la machine source de la connexion. Valeur : entre "1" (risque faible) et "100" (risque très élevé). Exemple : risk=20 Disponible depuis : SNS v3.0.0 |
| Risque | |
| target | Indique si le champs src ou dst correspond à la cible du paquet ayant levé l'alarme. Valeurs : "src" ou "dst" Disponible depuis : SNS v3.0.0 |
| Cible |