Comprendre les journaux d'audit

Les logs sont écrits dans le fichier journal correspondant.

Les journaux d’audit sont des fichiers texte au format UTF-8 respectant le standard WELF. Le format WELF est une suite d'éléments, écrits sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.

Un log (ou trace) correspond à une ligne terminée par un retour chariot (CRLF).

Exemple

id=firewall time="2019-01-27 13:24:28" fw="V50XXA0G0000002" tz=+0000 startime="2011-01-27 13:24:28" pri=4 srcif="Ethernet0" srcifname="out" ipproto=tcp proto=ssh src=192.168.0.1 srcport=54937 srcportname=ephemeral_fw dst=192.168.1.1 dstport=22 dstportname=ssh dstname=Firewall_out action=pass msg="Interactive connection detected" class=protocol classification=0 alarmid=85

Dans les sections Champs communs à tous les journaux et Champs spécifiques, la description des logs se présente de la manière suivante :

Nom du champ Description du champ
Format du champ. Exemple : "valeur brute"
Valeur si celle-ci est différente de la valeur brute.

Les journaux l_server, l_auth, l_vpn et l_system contiennent des champs spécifiques au firewall Stormshield Network. Ces champs particuliers n’appartenant pas au format WELF, sont décrits dans la section Champs spécifiques.

Certains fichiers de traces, comme l_filterstat , l_routerstat et l_count, ayant pour vocation le calcul de statistiques, comportent un grand nombre de champs spécifiques.

Ils correspondent donc à un instantané de l'état du firewall. Ils sont calculés et écrits à intervalle régulier.