Les Journaux

Voici la liste des logs (utilisés dans les vues à but thématique) et le nom du fichier de traces correspondant sur le firewall :

Administration l_server
Alarmes l_alarm
Authentification l_auth
Connexions réseaux l_connection
Filtrage l_filter
Proxy FTP l_ftp
VPN IPsec l_vpn
Connexions applicatives (plugin) l_plugin
Proxy POP3 l_pop3
Proxy SMTP l_smtp
Proxy SSL l_ssl
Événements systèmes l_system
Vulnérabilités l_pvm
Proxy HTTP l_web
VPN SSL l_xvpn
Sandboxing l_sandboxing
 

Les vues disponibles sont les suivantes :

  • Tous les journaux

Cette vue affiche l’ensemble des journaux : Administration, Alarmes, Authentification, Connexions réseaux, Filtrage, Proxy FTP, VPN IPsec, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Événements système, Vulnérabilités, Proxy HTTP et VPN SSL.
Notez que si l'utilisateur n'a pas le droit admin, le journal Administration ne sera pas comptabilisé dans cette vue.

  • Trafic réseau

Cette vue affiche les journaux Connexions réseaux, Filtrage, Proxy FTP, Connexions applicatives, Proxy POP3, Proxy SMTP, Proxy SSL, Proxy HTTP et VPN SSL.

Deux filtres prédéfinis sont proposés recherchant le trafic IPv4 et le trafic IPv6.

  • Alarmes

Cette vue affiche le journal Alarmes selon une certaine catégorisation; ce journal affiche uniquement les traces dont la catégorie d'appartenance de l'alarme n’est pas filter.

Trois filtres prédéfinis sont proposés recherchant les vulnérabilités de type Application (classification=1), Malware (classification=2) ou Protection (classification=0).

  • Web

Cette vue affiche les journaux Connexions réseaux, Connexions applicatives et Proxy HTTP selon certaines catégorisations :

  • Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est HTTP, HTTPS ou HTTP_PROXY.
  • Le  journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est HTTP ou HTTPS.

Un filtre prédéfini est proposé recherchant les Virus détectés.

  • Vulnérabilités

Cette vue affiche le journal Vulnérabilités.

Deux filtres prédéfinis sont proposés recherchant les Vulnérabilités de type Client (targetclient=1) et de type Serveur (targetserver=1)

  • E-mails

Cette vue affiche les journaux Connexions réseaux, Connexions applicatives, Proxy POP3 et Proxy SMTP selon certaines catégorisations :

  • Le journal de Connexions réseaux affiche uniquement les traces dont le service standard correspondant au port de destination est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.
  • Le journal de Connexions applicatives affiche uniquement les traces dont le nom du plugin associé est SMTP, SMTPS, POP3, POP3S, IMAP ou IMAPS.

Deux filtres prédéfinis sont proposés recherchant les Virus détectés (virus=infected) et les Spam détectés (spamlevel renseigné et différent de 0)

  • VPN

Cette vue affiche les journaux VPN IPsec, Événements système et VPN SSL selon une certaine catégorisation ; le journal Événements système affiche uniquement les traces dont le message de référence à l'action est PPTP.

  • Événements système

Cette vue affiche les journaux Alarmes et Événements système selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est system.

Deux filtres prédéfinis sont proposés recherchant les niveaux Mineur (pri = 4) ou Majeur (pri = 1).

  • Filtrage

Cette vue affiche les journaux Alarmes et Filtrage selon une certaine catégorisation ; le journal Alarmes affiche uniquement les traces dont la catégorie d'appartenance de l'alarme est filter.

  • Analyse sandboxing

Cette vue affiche le journal Sandboxing.

  • Utilisateurs

Cette vue affiche le journal Authentification.