Comprendre les journaux d'audit

Les journaux d’audit sont des fichiers texte au format UTF-8 respectant le standard WELF. Le format WELF est une suite d'éléments, écrits sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.

Un log (ou trace) correspond à une ligne terminée par un retour chariot (CRLF).

Exemple

id=firewall time="2019-01-27 13:24:28" fw="V50XXA0G0000002" tz=+0000 startime="2011-01-27 13:24:28" pri=4 srcif="Ethernet0" srcifname="out" ipproto=tcp proto=ssh src=192.168.0.1 srcport=54937 srcportname=ephemeral_fw dst=192.168.1.1 dstport=22 dstportname=ssh dstname=Firewall_out action=pass msg="Interactive connection detected" class=protocol classification=0 alarmid=85

Les champs de logs sont classés par ordre alphabétique dans les sections qui suivent. Leur description se présente de la manière suivante :

Nom du champ	Description du champ. Format du champ. Exemple : "valeur brute". Exemple. N° de version SNS dans laquelle est apparue le champ.
	Nom du champ dans l'interface d'administration si celui-ci diffère du nom présent dans le fichier de logs.

Les journaux l_server, l_auth, l_vpn et l_system contiennent des champs spécifiques au firewall Stormshield Network. Ces champs particuliers n’appartenant pas au format WELF, sont décrits dans la section Les champs spécifiques.

Certains fichiers de traces, comme l_filterstat , l_routerstat et l_count, ayant pour vocation le calcul de statistiques, comportent un grand nombre de champs spécifiques.

Ils correspondent donc à un instantané de l'état du firewall. Ils sont calculés et écrits à intervalle régulier.