log_monitor

Log > Monitor de log

O dispositivo de segurança de rede Dell SonicWALL mantém um log de eventos para rastrear possíveis ameaças de segurança. Este log pode ser exibido na página Log > Monitor de log ou na página Painel > Monitor de log. As duas páginas têm funcionalidades idênticas.

log_log_monitor.png

 

O log de eventos pode ser enviado automaticamente para um Endereço de e-mail para conveniência e arquivamento. Os alertas do Monitor de log também podem ser enviados por e-mail e podem alertá-lo sobre problemas como ataques ao seu firewall. Os alertas são imediatamente enviados por e-mail para um endereço de e-mail ou para um pager de e-mail. Cada entrada do log contém a data e a hora do evento e uma breve mensagem que descreve o evento.

As informações apresentadas são controladas pela definição de opções para as categorias que você deseja exibir na tabela de logs. Use a coluna Categorias para determinar os eventos da linha de base que serão monitorados e para configurar informações específicas de eventos.

A caixa de entrada Filtro localizada no canto superior esquerdo do painel Monitor de log permite que você digite uma cadeia de caracteres de pesquisa usada para filtrar os eventos de log que são exibidos no painel Monitor de log.

log_monitor_filter_box.png

 

É possível digitar qualquer subcadeia e pressionar a tecla Enter para filtrar painel Monitor de log. O Monitor de log listará somente os eventos de log que contenham correspondências para essa subcadeia.

Configurar Registro em log/Exibir Registro em log

No canto superior direito da página Monitor de log, o botão Configurar Registro em log pode ser clicado para alternar para a página Configurações de log, onde é possível configurar as definições para os eventos de log. Quando estiver na página Configurações de log, o botão Exibir Registro em log pode ser clicado para alternar para a página Monitor de log.

No canto inferior direito da página Monitor de log, a hora e a data da última atualização do Monitor de log são exibidas.

Gerenciamento dos eventos de log

Algumas das tarefas mais comuns que você pode executar para gerenciar o Log de eventos são as seguintes:

Exibição on-line de Eventos de log – O Log de eventos não é persistente. Os eventos mais antigos no buffer do banco de dados do Log de eventos no tempo de execução podem ser substituídos por eventos mais recentes.

Exibição on-line usando a UI do Monitor de log do SonicOS– A UI tira instantâneos do banco de dados do Log de eventos para que os usuários possam rolar para a frente e para trás no Log de eventos usando o seu navegador.

Formato de exibição de texto usando a CLI – Mostra somente o conteúdo atual do banco de dados do Log de eventos.

Filtragem da exibição do Monitor de log – É possível personalizar a exibição do Log de eventos.

Filtragem da captura da Configuração de log – É possível personalizar a captura do Log de eventos.

Exibição off-line dos Eventos de log – A exibição off-line é persistente porque o sistema salva os eventos de log em uma fonte externa, como o seu computador.

Exibindo Eventos de log por e-mail – Usando o cliente de e-mail, é possível configurar Alertas individuais por e-mail que são enviados sempre que ocorre um evento ou um Resumo de e-mail que envia lotes de eventos de log periodicamente.

log_monitor_tool_bar_email.png

 

Exibindo Eventos de log por meio do Visualizador do Syslog – É possível exibir e configurar os eventos de log e as definições de captura usando um visualizador do Syslog.

Exibindo Eventos de log por meio do GMS Syslogs – É possível exibir e configurar os eventos de log usando o GMS.

Exportando o banco de dados do Log de eventos – É possível exportar o banco de dados do Log de eventos como um arquivo de texto sem formatação clicando no botão Exportar.

log_monitor_tool_bar_text.png

 

Excluindo entradas do banco de dados do Log de eventos do tempo de execução – É possível excluir as entradas permanentemente usando o botão Limpar tudo. Assim, realize este procedimento com cautela. Se a automação não estiver habilitada, exporte o banco de dados antes de usar Limpar tudo.

log_monitor_tool_bar_clear.png

 

Investigação profunda de pacotes usando um Registrador de dados, como o Solera – É possível registrar eventos profundos de pacotes usando um registrador de dados, como o Solera. Este recurso é habilitado em Log > Automação e os eventos que serão registrados são configurados em Log > Configurações.

log_monitor_enable_Solera.png

 

 

Funções da tabela do Monitor de log

A tabela Monitor de log fornece inúmeras configurações para permitir que você acesse, exiba e exporte resultados. As colunas da tabela podem ser personalizadas para que você possa exibir os dados completos sobre qualquer evento ou apenas os dados dos quais você precisa. As entradas da tabela podem ser classificadas em ordem ascendente ou descendente.

É possível classificar as entradas na tabela Monitor de log clicando no cabeçalho da coluna. As entradas são classificadas por ordem crescente ou decrescente. A seta para a direita da entrada da coluna indica o status de classificação. Uma seta para baixo significa ordem crescente. Uma seta para cima indica uma ordem decrescente.

A linha superior da tabela Monitor de log contém vários itens funcionais:

log_monitor_top_row.png

 

• Menu Eventos de log desde

• Botões funcionais

• Caixa Atualizar

Menu Eventos de log desde

No menu Eventos de log desde, é possível selecionar o intervalo de tempo da exibição dos eventos de log. Os intervalos de tempo vão desde os últimos 30 minutos até os últimos 30 dias ou todos os eventos de log contidos no banco de dados.

Botões funcionais

Os botões funcionais executam várias funções do Monitor de log. Pausar o cursor sobre um botão exibirá a descrição do botão.

log_monitor_seven_buttons.png

 

A tabela a seguir descreve as funções dos botões:

Botão

Função

Descrição

log_monitor_csv_button.png

 

Exportar log como arquivo CSV

Clicar neste botão exibe uma caixa de diálogo que per­mite abrir ou salvar o log no formato de valores separa­dos por vírgula (CSV). Este formato é usado para importar no Excel ou outros aplicativos de desenvolvimento de apresentação.

log_monitor_txt_button.png

 

Exportar log como arquivo de texto sem formatação

Clicar neste botão exibe uma caixa de diálogo que per­mite salvar o log no formato de texto sem formatação. Dois formatos de e-mail podem ser configurados na página Log > Automação: Texto sem formatação ou HTML.

log_monitor_select_columns_button.png

 

Selecionar colunas a serem exibi­das

Clicar neste botão exibe uma caixa de diálogo que per­mite selecionar as colunas que você deseja mostrar na tabela Monitor de log.

log_monitor_refresh_button.png

 

Forçar Atualização

Clicar neste botão atualiza as informações na tabela Monitor de log.

log_monitor_send_email_button.png

 

Enviar log para endereço de e-mail

Clicar neste botão envia todos os logs para o endereço de e-mail configurado.

log_monitor_clear_log_button.png

 

Limpar todos os logs

Clicar neste botão exclui todos os logs salvos.

log_monitor_status_button.png

 

Status

Clicar neste botão exibe o número total de logs existentes no banco de dados, bem como a última hora reportada para cada categoria de status.

Caixa Atualizar

Na extrema direita da tabela, na caixa Atualizar, é possível especificar a frequência com que a tabela Monitor de log é atualizada com os eventos do banco de dados do log de eventos. O padrão é atualizar a cada 60 segundos, mas é possível especificar outros intervalos. Para atualizar todas as saídas imediatamente, clique no botão de alternância pausar/reproduzir localizado à direita da caixa Atualizar.

LogMonitor_View_Refresh.jpg

O botão de alternância pausar/reproduzir inicia ou para a atualização de conteúdo da tabela Monitor de log. Isto é útil nos casos em que a tabela Monitor de log está muito ocupada e está sendo atualizada de forma contínua em uma sucessão rápida. Os usuários podem pausar a tela para impedir uma atualização longa para inspecionar as mensagens.

O Monitor de log é exibido em uma tabela e pode ser classificado por coluna.

Para selecionar quais colunas você deseja que sejam exibidas na tabela:

1. Clique no botão Ferramentas.

log_monitor_tool_bar.png

 

A caixa de diálogo Selecionar colunas a serem exibidas é exibida.

log_monitor_columns_to_display.png

 

2. Na caixa de diálogo Selecionar colunas a serem exibidas, selecione as colunas que você deseja exibir.

3. Clique em Aplicar.

 

As colunas da tabela de log padrão incluem:

Hora – A data e a hora do evento.

ID – O número de identificação do evento. O ID é mais útil ao usar o GMS ou o Syslog. O ID é mostrado nos pacotes do Syslog e é usado para identificar dados em relatórios gerados.

Categoria – Para facilitar a localização e definição das configurações de um evento, os eventos podem ser exibidos por Categoria, Grupo ou Evento, selecionados na caixa de diálogo Selecionar colunas a serem exibidas.

Prioridade – O nível de prioridade associado ao seu evento de log. O Syslog usa oito prioridades para caracterizar as mensagens: Emergência, Alerta, Crítico, Erro, Advertência, Aviso, Informativa e Depuração.

Endereço Int – Exibe o endereço IP e a rede de origem.

Dst. Int – Exibe o endereço IP e a rede de destino.

Endereço IP – Exibe o endereço IP de origem.

Endereço Porta – Exibe a porta de origem.

Dst. IP – Exibe o endereço IP de destino.

Dst. Porta – Exibe a porta de destino.

Protocolo do IP – O protocolo do IP (TCP ou IP) sendo usado

Nome de usuário – Exibe o nome do usuário de origem

Aplicativo – Exibe o aplicativo que acessa a rede.

Notas – Fornece informações dinâmicas e detalhadas sobre o evento.

Mensagem – Fornece uma descrição geral do evento.

Note As colunas Hora, ID e Mensagem são sempre exibidas e não podem ser ocultas por personalização.

Note Para obter mais informações sobre eventos de log específicos, consulte o Guia de Referência dos Eventos de log do SonicOS.

 

Filtrando a tabela Monitor de log

A barra de filtros permite filtrar a tabela de log com base em critérios selecionados.

1. Selecione um item de filtro clicando na célula da coluna desejada. A célula selecionada fica azul. Várias células podem ser selecionadas.

Ao terminar de fazer as seleções, clique em + na barra de filtros.
O critério de filtro é aplicado à exibição e é possível visualizar o tipo de filtro na barra de filtros.

3. Clique na seta arrow_icon.png ao lado do nome da coluna (neste caso, Categoria), para exibir o valor do filtro.

4. Para remover um filtro, clique no X ao lado do tipo de filtro.

 

Visão do filtro

A Exibição de filtros permite que você defina a filtragem sem correspondências existentes na tabela Monitor de log.
No modo normal, só é possível definir a filtragem com base em um evento existente que pode ser selecionado na tabela Monitor de log. Na Exibição de filtros, só é possível selecionar uma combinação de Categoria/Prioridade por vez. No modo normal, é possível selecionar várias categorias ao mesmo tempo.

É possível configurar várias exibições de filtros para as categorias usando a barra de filtros.

Para configurar uma exibição de filtros:

1. Acesse a página Log > Monitor.

2. Clique no sinal de + ao lado da barra Exibição de filtros.
A caixa de diálogo Exibição de filtros é exibida.

log_monitor_view_filter.png

 

3. No menu Prioridade, selecione a prioridade desejada.

4. No menu Categoria, selecione a categoria desejada.

5. No menu Interface de origem, selecione a interface desejada.

6. No menu Interface de destino, selecione a interface desejada.

7. Na caixa IP de origem, digite o endereço IP da interface de origem.

8. Na caixa IP de destino, digite o endereço IP da interface de destino.

9. Clique em Aplicar.
A tabela Monitor de log exibe os resultados filtrados.

 

Mensagens de eventos de log

Para obter um guia de referência completa de mensagens de eventos de log, consulte SonicOS Log Event Reference Guide.

Persistência de log

Os modelos TZ de extremidade inferior podem armazenar até 800 entradas de eventos no buffer de log. Todos os outros modelos da versão 5.9 do Dell/Dell SonicWALL podem armazenar de 1.000 a 10.000 entradas de eventos no buffer de log.

Quando o log estiver cheio, uma ou mais entradas de log mais antigas são excluídas. Também é possível clicar no botão Limpar todos os logs para limpar todas as entradas do log.

O envio por e-mail oferece uma versão simples do registro em log de persistência e o GMS fornece um método mais confiável e escalável.

Ao oferecer ao administrador a opção para fornecer logs como texto simples ou HTML, o administrador possui um método fácil para revisar e reproduzir eventos registrados.

GMS

Para possibilitar a capacidade de identificar e exibir os eventos em toda a empresa, será necessária a atualização do GMS. Os eventos de "conteúdo interessante" específicos para o dispositivo no console do GMS são exibidos na página Relatórios > Busca do Visualizador de logs, mas também podem ser encontrados em vários relatórios, como Principais Invasões ao Longo do Tempo.

gms_data.jpg