IMPORTANT
Action requise : Appliquez le correctif pour les disques SSD des firewalls SNS.
Merci de suivre la procédure détaillée dans l’article How to update my SSD Firmware - Stormshield Knowledge Base (authentification nécessaire).
Comprendre les journaux d'audit
Les logs sont écrits dans le fichier journal correspondant.
Les journaux d’audit sont des fichiers texte au format UTF-8 respectant le standard WELF. Le format WELF est une suite d'éléments, écrits sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.
Un log (ou trace) correspond à une ligne terminée par un retour chariot (CRLF).
Exemple
id=firewall time="2019-01-27 13:24:28" fw="V50XXA0G0000002" tz=+0000 startime="2011-01-27 13:24:28" pri=4 srcif="Ethernet0" srcifname="out" ipproto=tcp proto=ssh src=192.168.0.1 srcport=54937 srcportname=ephemeral_fw dst=192.168.1.1 dstport=22 dstportname=ssh dstname=Firewall_out action=pass msg="Interactive connection detected" class=protocol classification=0 alarmid=85
Dans les sections Champs communs à tous les journaux et Champs spécifiques, la description des logs se présente de la manière suivante :
| Nom du champ | Description du champ Format du champ. Exemple : "valeur brute" |
| Valeur si celle-ci est différente de la valeur brute. |
Les journaux l_server, l_auth, l_vpn et l_system contiennent des champs spécifiques au firewall Stormshield Network. Ces champs particuliers n’appartenant pas au format WELF, sont décrits dans la section Champs spécifiques.
Certains fichiers de traces, comme l_filterstat , l_routerstat et l_count, ayant pour vocation le calcul de statistiques, comportent un grand nombre de champs spécifiques.
Ils correspondent donc à un instantané de l'état du firewall. Ils sont calculés et écrits à intervalle régulier.
Changement d’heure
Lorsque le firewall subit un changement d'heure, une ligne spécifique est écrite dans tous les journaux.
Elle contient notamment les champs datechange et duration. La valeur de datechange est dans ce cas égale à "1" pour refléter le changement d'heure. Le champ duration donne quant à lui, l’écart (en secondes) entre l’heure du firewall, avant et après ce changement.
Les autres champs de ce log particulier sont communs (décrits dans la section suivante).
Exemple
id=firewall time="2019-01-01 01:00:00" fw="U800SXXXXXXXXXX" tz=+0100 startime="2019-01-01 01:00:17" datechange=1 duration=-18
Dans le module Logs - Journaux d'audit de l'interface Web d'administration, ce log apparaît dans l’ensemble des modules, surligné en jaune.