Log_logReadView

Log > Visualizar

O dispositivo de segurança de rede Dell SonicWALL mantém um log de eventos para rastrear possíveis ameaças de segurança. Esse log pode ser visualizado na página Log > Visualizar ou pode ser enviado automaticamente para um endereço de e-mail para conveniência e arquivamento. O log é exibido em uma tabela e pode ser classificado por coluna.

O firewall pode alertá-lo de eventos importantes, como um ataque ao firewall. Os alertas são imediatamente enviados por e-mail para um endereço de e-mail ou para um pager de e-mail. Cada entrada do log contém a data e a hora do evento e uma breve mensagem que descreve o evento.

Este capítulo contém as subseções seguintes:

• Usar a tabela de visualização de log

• Atualizar mensagens de eventos de log

• Excluir mensagens de eventos de log

• Exportar mensagens de eventos de log

• Enviar mensagens de eventos de log por e-mail

• Filtrar registros de log visualizados

Usar a tabela de visualização de log

O log é exibido em uma tabela e pode ser classificado por coluna. As colunas da tabela do log incluem:

• Hora – a data e a hora do evento.

• Prioridade – o nível de prioridade associado ao seu evento de log.
O syslog usa oito categorias que caracterizam mensagens em ordem decrescente de gravidade. As categorias incluem:

– Emergência

– Alerta

– Crítico

– Erro

– Aviso

– Informacional

– Depurar

Especifique um nível de prioridade em um firewall na página Log > Categorias para registrar mensagens para esse nível de prioridade, além de todas as mensagens marcadas com severidade superior. Por exemplo, selecione "erro" como o nível de prioridade para registrar todas as mensagens marcadas como "erro", bem como todas as mensagens marcadas com "crítico", "alerta" e "emergência". Selecione "depurar" para registrar todas as mensagens.

Note Consulte a seção Mensagens de eventos de log para obter mais informações sobre seu evento de log específico.

• Categoria – o tipo de tráfego, como Acesso à rede ou Acesso autenticado.

• Mensagem – fornece a descrição do evento.

• Origem – exibe a rede e o endereço IP de origem.

• Destino – exibe o endereço IP e a rede de destino.

• Notas – fornece informações adicionais sobre o evento.

• Regra – detecta a regra de acesso à rede afetada pelo evento.

Navegar e classificar entradas de tabela de visualização de log

A tabela Visualizar log fornece uma paginação fácil para a visualização de grandes números de eventos de log. Você pode navegar nesses eventos de log usando a barra de controle de navegação localizada na parte superior direita da tabela Visualizar log. A barra de controle de navegação inclui quatro botões. O botão mais à esquerda exibe a primeira página da tabela. O botão mais à direita exibe a última página. Os botões de seta interiores para a esquerda e para a direita movem a página anterior ou seguinte, respectivamente.

Você pode classificar as entradas na tabela clicando no cabeçalho da coluna. As entradas são classificadas por ordem crescente ou decrescente. A seta para a direita da entrada da coluna indica o status de classificação. Uma seta para baixo significa ordem crescente. Uma seta para cima indica uma ordem decrescente.

Atualizar mensagens de eventos de log

Para atualizar mensagens de log, clique no botão Atualizar perto do canto superior direito da página.

Excluir mensagens de eventos de log

Para excluir o conteúdo do log, clique no botão Limpar log perto do canto superior direito da página.

Exportar mensagens de eventos de log

Para exportar o conteúdo do log para um destino definido, clique no botão Exportar log abaixo da tabela de filtro. Você pode exportar o conteúdo do log para dois formatos:

• Formato de texto simples – usado no log e no e-mail de alerta.

• Formato de valores separados por vírgula (CSV) – usado para importar para Excel ou outros aplicativos de desenvolvimento de apresentação.

Enviar mensagens de eventos de log por e-mail

Se você tiver configurado o firewall para enviar arquivos de log por e-mail, clicar em Log de e-mail perto do canto superior direito da página envia os arquivos de log atuais para o endereço de e-mail especificado na seção Log > Automação > E-mail.

Note O firewall pode alertá-lo de eventos importantes, como um ataque ao firewall. Os alertas são imediatamente enviados por e-mail para um endereço de e-mail ou para um pager de e-mail. Para enviar alertas, você deve inserir informações de endereço e servidor de e-mail na página Log > Automação.

Filtrar registros de log visualizados

Você pode filtrar os resultados para exibir apenas os logs de eventos que correspondem a determinados critérios. Você pode filtrar por Prioridade, Categoria, Origem (IP ou Interface) e Destino (IP ou Interface).

1. Insira seus critérios de filtro na tabela Configurações de visualização de log.

Os campos em que inserir valores são combinados em uma cadeia de caracteres de pesquisa com um E lógico. Por exemplo, se você selecionar uma interface para Origem e para Destino, a cadeira de caracteres de pesquisa procurará conexões que correspondem ao seguinte:

Interface de origem E Interface de destino

3. Marque a caixa Agrupar filtros junto de dois ou mais critérios para combiná-los com um OU lógico.

Por exemplo, se você inserir valores para IP de origem, IP de destino e Protocolo e marcar Agrupar filtros junto de IP de origem e IP de destino, a cadeia de caracteres de pesquisa buscará conexões que correspondam a:

(IP de origem OU IP de destino) E Protocolo

4. Clique em Aplicar filtro para aplicar o filtro de imediato à tabela Configurações de visualização de log. Clique em Redefinir filtros para limpar o filtro e exibir novamente os resultados não filtrados.

Mensagens de eventos de log

Para obter um guia de referência completa de mensagens de eventos de log, consulte o SonicWALL Log Event Reference Guide localizado em http://www.sonicwall.com/support.html.

Detecção e reprodução distribuídas de eventos

O dispositivo Solera pode pesquisar seu repositório de dados, enquanto também permite que o administrador defina eventos de "conteúdo interessante" no SonicWALL. O nível de detalhes de registro e a frequência do registro podem ser configurados pelo administrador. Quase todos os eventos incluem IP de origem, Porta de origem, IP de destino, Porta de destino e Hora. O SonicOS possui um amplo conjunto de eventos de log, incluindo:

• Eventos informativos/depuração – configuração/eliminação de conexão

• Eventos de usuário – acesso administrativo, atividade de conexão única, logins do usuário, detalhes de filtragem de conteúdo

• Eventos de regra/política de firewall – acesso a e de combinações de portas de IP específicas, também identificáveis pela hora

• Conteúdo interessante na camada de rede ou aplicativo – verificações de porta, inundações SYN, DPI ou acertos de política/assinatura AF

Este é um exemplo do processo de detecção e reprodução de eventos distribuídos:

1. O administrador define o acionamento do evento. Por exemplo, uma política de Regras de aplicativos é definida para detectar e registrar a transmissão de um documento oficial.

2. Um usuário (no endereço IP 192.168.19.1) na rede recupera o arquivo.

3. O evento é registrado pelo SonicWALL.

4. O administrador seleciona o ícone do Gravador da coluna à esquerda da entrada do log. O ícone/link somente aparece nos logs quando um NPCS é definido no SonicWALL (como IP: [192.168.169.100], Porta: [443]). O dispositivo NPCS definido será o destino do link. O link incluirá os parâmetros de cadeia de caracteres de consulta definindo a conexão desejada.

5. O NPCS autenticará (opcionalmente) a sessão do usuário.

Persistência de log

O SonicOS atualmente aloca 32 K a um buffer progressivo de logs. Quando o log ficar cheio, pode ser enviado por e-mail para um destinatário definido e liberado ou pode simplesmente ser liberado. O envio por e-mail fornece uma versão simples de persistência de log. Ao oferecer ao administrador a opção para fornecer logs como texto simples ou HTML, o administrador possui um método fácil para revisar e reproduzir eventos registrados.