Les Journaux
Voici la liste des logs (utilisés dans les vues à but thématique) et le nom du fichier de traces correspondant sur le firewall :
Administration | l_server |
Alarmes | l_alarm |
Authentification | l_auth |
Connexions réseaux | l_connection |
Filtrage | l_filter |
Proxy FTP | l_ftp |
VPN IPsec | l_vpn |
Connexions applicatives | l_plugin |
Proxy POP3 | l_pop3 |
Proxy SMTP | l_smtp |
Proxy SSL | l_ssl |
Événements systèmes | l_system |
Vulnérabilités | l_pvm |
Proxy HTTP | l_web |
VPN SSL | l_xvpn |
Sandboxing | l_sandboxing |
Les vues disponibles sont les suivantes :
- Tous les journaux
Cette vue affiche l’ensemble des journaux : Administration, Alarmes, Authentification, Connexions réseaux, Filtrage, Proxy FTP, VPN IPsec, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Événements système, Vulnérabilités, Proxy HTTP et VPN SSL.
Notez que si l'utilisateur n'a pas le droit admin, le journal Administration ne sera pas comptabilisé dans cette vue.
- Trafic réseau
Cette vue affiche les journaux Connexions réseaux, Filtrage, Proxy FTP, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Proxy HTTP et VPN SSL.
Deux filtres prédéfinis sont proposés recherchant le trafic IPv4 et le trafic IPv6.
- Alarmes
Cette vue affiche le journal Alarmes selon une certaine catégorisation; ce journal affiche uniquement les traces dont la catégorie d'appartenance de l'alarme n’est pas filter.
Trois filtres prédéfinis sont proposés recherchant les vulnérabilités de type Application (classification=1), Malware (classification=2) ou Protection (classification=0).
- Web
Cette vue affiche les journaux Connexions réseaux, Connexions applicatives et Proxy HTTP selon certaines catégorisations :
- Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est HTTP, HTTPS ou HTTP_PROXY.
- Le journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est HTTP ou HTTPS.
Un filtre prédéfini est proposé recherchant les Virus détectés.
- Vulnérabilités
Cette vue affiche le journal Vulnérabilités.
Deux filtres prédéfinis sont proposés recherchant les Vulnérabilités de type Client (targetclient=1) et de type Serveur (targetserver=1)
- E-mails
Cette vue affiche les journaux Connexions réseaux, Connexions applicatives, Proxy POP3 et Proxy SMTP selon certaines catégorisations :
- Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.
- Le journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.
Deux filtres prédéfinis sont proposés recherchant les Virus détectés (virus=infected) et les Spam détectés (spamlevel renseigné et différent de 0)
- VPN
Cette vue affiche les journaux VPN IPsec, Événements système et VPN SSL selon une certaine catégorisation ; le journal Événements système affiche uniquement les traces dont le message de référence à l'action est PPTP.
- Événements système
Cette vue affiche les journaux Alarmes et Événements système selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est system.
Deux filtres prédéfinis sont proposés recherchant les niveaux Mineur (pri = 4) ou Majeur (pri = 1).
- Filtrage
Cette vue affiche les journaux Alarmes et Filtrage selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est filter.
- Analyse sandboxing
Cette vue affiche le journal Sandboxing.
- Utilisateurs
Cette vue affiche le journal Authentification.