Как да използвам Log Viewer

Тази статия описва поведението на Log Viewer и разликите между Log Viewer и Packet Capture

Отнася се за следните продукти и версии на Sophos 
Sophos Firewall

Бърз филтър

В Log Viewer може да забележите, че когато използвате бърз филтър, в логовете ви ще бъдат показани и резултати, които не са в зададения период от време.

Сценарий

Филтирирайте логовете в Log Viewer използвайки бързият метод за филтриране на информация в рамките на 10 минутен рейндж

В примера отдолу, първият лог е събран в 23:34:18. По-надолу във филтрираните логове, последният лог виждаме, че е събран в 23:14:13, което е извън рейнджа на 10 минутният бърз филтър, който първоначално е нагласен.

Това е нормално поведение на Log Viewer. За да може да редуцираме времето за отговор, Log Viewer единствено проверява логове след като събере определен брой от лимитирани записи (т.е 200). Например, ако през последните десет минути, филтъра съдържа само 100 записа, Log Viewer ще покаже цялата група, които са 200, и може да съдържат информация извън рейнджа на избраният филтър.

Open

(кликнете тук, за да видите изображението в пълен размер)

Филтър по колони

Защитната стена на Sophos от версия 17.5 има избираеми полета, което позволява на администраторите да вадят необходимата информация.

Open

(кликнете тук, за да видите изображението в пълен размер)

В този пример администраторът е филтрирал/избрал полетата в логовете: Firewall rule, Source IP, Source Zone, Destination IP, Application, Application filter Policy ID, Application Category, Application technology и Web policy ID.

(кликнете тук, за да видите изображението в пълен размер)

От версия 17.5 на Sophos XG Firewall е разрешено на администраторите да преминават от конкретно събитие в логовете към подходящо Intrusion Prevention правило, Firewall правило или Web filter политика. В примера като кликнете върху “firewall rule_id=2” ще ви препрати към страницата за редактиране ID=2.

(кликнете тук, за да видите изображението в пълен размер)

В примера като кликнете върху “web_policy _id=12” ще ви препрати към съответната страница за редактиране на Web политика.

(кликнете тук, за да видите изображението в пълен размер)

Поведение на Log Viewer и Packet Capture по отношение на IP адреса на източника

Когато използваме измислен от нас IP адрес като изходящ, Log Viewer-а ще показва IP адреса на физическият интерфейс вместо изходящият. От друга страна, Packet Capture ще покаже изходящия адрес. В следващият пример ще разгледаме разликите в това поведение.

Сценарий

В защитната стена има правило, в което е написан IP адрес за WAN като изходящ адрес от LAN към WAN. След това потребител достъпва конкретен сайт с IP адрес 216.58.199.105. Отдолу е конфигурираното правило.

(кликнете тук, за да видите изображението в пълен размер)

Log Viewer

Когато разгледаме прихванатия трафик чрез Log Viewer в стандартен режим (Standard View), той показва физическият IP адрес на интерфейса в Source IP колоната. Това е защото Log Viewer събира информация от orig-src полето на conntrack.

(кликнете тук, за да видите изображението в пълен размер)

Обаче, същинският пакет генериран от проксито е записан в Log Viewer под полето src_trans_ip.

Това може да се види или от Detailed View в Log Viewer или като си предвижим мишката над конкретния ред в логовете в Standard View

Detailed View

(кликнете тук, за да видите изображението в пълен размер)

Standard View

(кликнете тук, за да видите изображението в пълен размер)

Packet Capture

Packet Capture или прихващане на пакети, записва информация за всеки пакет. Опитва се да имитира логването на пакети все едно е извършено от tcpdump. Тоест, генерирания пакет лог се покзва в Packet Capture менюто с оригиналният NAT IP адрес.

(кликнете тук, за да видите изображението в пълен размер)

Видео: Log Viewer Enhancements

Ръководството на английски език: Sophos XG Firewall: Log Viewer behavior

Свързани материали