SonicWALL防火牆日誌分析管理
目錄
一、日誌監控
1.1日誌面板
如圖,防火牆log界面如下
左邊“+”可以設置各種過濾條件,可以設置日誌類型、日誌級別、源ip、目的ip等進行過濾。帶有SSD硬盤的防火牆可以選擇日誌文件及時間進行過濾。如圖:
防火牆默認會每隔60秒自動刷新一次log信息,如果不想刷新可以點擊暫停,或者根據需要調整自動刷新時間。
新版本防火牆可以自定義顯示內容,如圖,點擊顯示內容按鈕即可配置界面上顯示的內容。點擊save保存,點擊default可以恢復默認。
導出按鈕可以將防火牆日誌導出,默認支持csv、text格式,email選項則是會發送到Email郵箱中去。參考下面 自動化設置 將日誌發送到郵件 部分。
清除按鈕,可以清除所有日誌
日誌統計:可以統計日誌總數以及各個類別最後產生日誌的時間。
日誌內容:
- Local Time:防火牆本地時間,如果該時間不對,請在system→Time調整防火牆時間,注意看是否有勾選“在log中顯示UTC時間”的選項。
- ID :日誌ID,每一種類型的日誌都對應一個唯一的ID,通過過濾ID可以查找到相關類型的日誌。
- Category:日誌類型,例如Firewall、Network、VPN等,對應防火牆不同的功能模塊。
- Priority:日誌級別,如果超過設置的Alert級別,則會被防火牆標識爲紅色。
- Message:日誌詳細內容
- Source:源IP
- Destination:目的IP
- IP Protocol:IP協議
- Notes:描述,例如來自哪條策略
1.2常用操作
防火牆的日誌分爲Emergency(緊急)、Alert(警戒)、Critical(危急)、Error(錯誤)、Warning(警告)、Notice(通知)、Inform(信息)、Debug(調試)這8個級別。默認情況防火牆的警戒級別屬於Alert,也就是當出現相關類型的日誌的時候,防火牆面板上Alert燈會閃爍,並且防火牆log monitor中會標紅該條日誌。
一般來說看防火牆日誌主要是看警告級別的日誌,主要是UTM相關的日誌以及SynFlood的日誌,以判斷網絡是否存在威脅。
首先,我們可以過濾Alert的日誌,點擊左上角“+”添加過濾條件,將級別配置爲Alert,如果懷疑某個IP或者有明確方向的,可以配置更加詳細的信息(例如類型、源IP或者目的IP等)
配置完成之後點擊確認即可看到相關日誌。
還有一種快捷操作方法,就是直接在日誌中選中相關日誌,隨後點擊“+”即可快捷添加過濾條件。例如選中VPN以及源IP 116.24.67.199
點擊“+”之後過濾即可得到源地址是116.24.67.199類型爲VPN的相關日誌
1.3日誌分析
一般來說,當出現問題的時候,我們都會去查看日誌,我們可以根據需求過濾日誌,最終找到相關日誌協助我們排障。
對於我們來說,防火牆是一個安全設備,所以防火牆的日誌我們更傾向於瞭解我們當前遇到打安全威脅,以下例舉了一些常見的威脅日誌進行分析。
Synflood日誌:
如圖,這種標有TCP Flood ……XX/sec的屬於泛洪,一般來說可能內網多多少少會存在一些泛洪,該類日誌數量較少,且每秒發起連接數少於300的情況下可以不管,如果防火牆中存在大量類似的日誌,並且每秒的連接數超過300次,達到上千甚至上萬,那肯定是網絡出現問題。
當確認網絡中有泛洪的時候,查看source,如果source IP是一個內網地址,代表可能是內網該電腦中毒(注意,可能不止一臺)。此時應該找出相關電腦,斷網之後進行殺毒等處理。
如果是來自外網,可能是外網有人在攻擊你(常見於使用固定IP的用戶),此時可以打開防火牆洪流防護,如圖:
開啓洪流防護之後有一定的防護作用,但是治標不治本,如果要治本還需要找到原因再進行根治。
UTM日誌
UTM指的是防火牆統一威脅管理功能,其中包括了網關防毒,入侵防禦,反間諜軟件以及應用程序控制。
UTM相關功能模塊需要購買才能使用,如果沒有購買,則該模塊不生效,log中也無法查看到相關日誌。
應用程序控制日誌:
如上圖爲應用程序控制日誌,一般開啓應用程序控制之後可以看到該類型的日誌,當應用程序控制策略匹配到應用相關流量的時候即出現該日誌。該日誌一般用於判斷應用程序控制策略方面的問題,如果配置過攔截,可以通過該類型日誌看是否有被應用程序控制的簽名被匹配和攔截。一般配合過濾源IP使用。
網關防毒日誌:
如圖,類似帶有“Gateway Anti-Virus Alert”字樣的就屬於網關防毒日誌。後面的“MalAgent.J_182 (Trojan)”代表病毒名。
出現該類型的日誌代表防火牆攔截到病毒,此時需要觀察源IP是內網IP還是外網IP。如果是外網IP,意味着可能內網有電腦訪問了一個帶毒的網站或者下載了帶毒的文件,被防火牆攔截,這種情況基本可以不管。如果源IP是內網IP,代表可能是內網電腦中毒,正在往傳播,此時過濾查看該IP的相關日誌,看是否有很多網關防毒的日誌,如果有,代表這臺電腦肯定存在問題,建議斷網查殺。
IPS日誌:
如圖,帶有“IPS Prevention Alert”字樣的即爲IPS日誌,後面的 “ WEB-ATTACKS masscan Scanner”是具體IPS的類型及漏洞名。IPS即入侵檢測防禦,主要是防火牆對各種軟件、系統的漏洞防護過程中產生的日誌。該類型的日誌一般源IP都是外網,例如圖中日誌就代表外網37.187.134.139這個IP企圖利用WEB-ATTACKS masscan Scanner這個漏洞來入侵192.168.6.66這個服務器,但是已經被防火牆攔截。
反間諜軟件日誌:
由於間諜軟件一般較爲少見,故此處沒有截圖。但是與網關防毒、IPS類似,防火牆反間諜軟件功能在攔截到間諜軟件的時候也出現帶有“Anti-Spyware Prevention Alert”字樣的日誌信息。
與IPS相反,一般間諜軟件源IP是內網,因爲間諜軟件主要作用就是電腦中竊取信息,然後發送給黑客,防火牆就在發送這過程中檢測並且攔截相關數據包。如果發現有反間諜軟件的相關日誌,並且源地址是內網,請儘快對該電腦進行排查。
除了日誌之外,Appflow Report也是一個方便查看的工具,不過Appflow Report更傾向於統計。通過該模塊可以查看防火牆自開機以來每個IP的總流量、總會話以及防火牆攔截到的各個病毒、IPS、間諜軟件的會話數量。如圖:
由於日誌種類龐雜,其他的日誌,在此就不一一例舉,但是基本都大同小異,我們可以根據需要去進行過濾,從而找到相關日誌來輔助我們進行排障等操作。
二、日誌設置
2.1日誌設置界面
因爲防火牆日誌種類繁多,有些日誌可以是我們不需要的,此時就可以通過配置日誌來禁用那些非必須的日誌。
如圖爲防火牆日誌設置界面:
防火牆左上角“+”與日誌監控類似,可以進行過濾,不過這裏過濾採用的是表達式。
例如可以過濾“ID=508”,即可過濾出來ID爲508的日誌類型:
Logging Level爲日誌級別,這代表了防火牆會從哪個級別的日誌開始記錄,默認是Inform,一般設置爲Notice也可以,不建議設置爲debug,debug級別會產生大量日誌,而這些日誌對我們基本是無用的,反而會干擾我們查看其它日誌。
Alert Level:顧名思義警報級別,你可以將其他更低或者更高級別的日誌定義爲警報。
設置:可以一次性編輯所有日誌類型的屬性,例如是否顯示在日誌監控中,是否發送到syslog服務器等等。
重置記錄:該按鈕可以重置事件計數,點擊之後可以清除掉所有日誌的事件計數。
保存配置:可以將當期對各個日誌類別的配置保存成自定義模板。注意,該配置僅可以保存在防火牆上且只可以保存一個。
導入配置:可以從保存的模板中導入配置,包括防火牆自帶的模板以及自定義模板。
日誌設置:通過日誌設置,我們可以配置某個類型日誌的詳細參數
- Category:日誌類型
- Color:日誌顏色
- ID:日誌ID,唯一
- Priority:日誌級別,可以修改該類型日誌的級別,例如“NTP Request Sent”的級別默認是Notice,但是根據需求,我也可以將其設置爲Alert,設置之後一旦出現“NTP Request Sent”的日誌,則這條日誌會變爲警告級別。
- Gui:該類型日誌是否顯示在防火牆日誌監控中
- Alert:該類型日誌是否標識爲警告
- Syslog:該類型日誌是否會發送到syslog服務器上
- Ipfix:該類型日誌是否作爲IP數據流信息輸出
- Email:是否通過電子郵件將日誌發送到配置的地址的複選框。對於事件,可以在列中配置這些複選框。對於類別和羣組, 電子郵件在單擊行末尾的配置按鈕後顯示的編輯日誌羣組或編輯日誌類別對話框中配置。
- Event Count:事件計數,事件計數按以下條件顯示事件的計數:
- 事件級別 - 此值顯示該事件發生過的次數。
- 羣組級別 - 此值顯示在該羣組內發生的事件總數。
- 類別級別 - 此值顯示在該類別內發生的事件總數。
通過將鼠標懸停在事件計數上,將顯示彈出窗口,其中顯示了由於以下原因發生的事件數:
![在這裏插入圖片描述]()
注意: 防火牆操作審計日誌默認不開啓,如果需要使用,需要先在防火牆管理中開啓該功能。
![在這裏插入圖片描述]()
三、SysLog
除在 GUI 中顯示事件消息外, SonicWALL 防火牆還可以向用戶配置的外部 Syslog 服務器發送相同消息供查看。
Syslog 消息格式可在 Syslog 設置中選擇,目標 Syslog 服務器可在 Syslog 服務器的表格中指定。
3.1 syslog界面
Syslog界面如下:
Syslog ID:Syslog識別ID所有生成的 Syslog 消息中將包括一個 Syslog ID 字段,其前綴爲“id= ”。因此,對於默認值 firewall,所有 Syslog消息將包括“id=firewall”。該 ID 可設置爲包含 0 到 32 的字母數字和下劃線字符的字符串。[1]
Syslog Facility:syslog設備,默認Local use 0即可。可以理解爲代表了不同的syslog級別。
**Syslog Format:**日誌格式,可以選擇需要的格式。
- Default – 使用默認的 SonicWALL Syslog 格式。
- WebTrends – 使用 WebTrends Syslog 格式。日誌服務器的系統必須已安裝 WebTrends 軟件。
- Enhanced Syslog – 使用增強型 SonicWALL Syslog 格式(可以選擇更多的日誌屬性)。
- ArcSight – 使用 ArcSight Syslog 格式。 Syslog 服務器必須使用 ArcSight Logger 應用程序進行配置,以解碼 ArcSight 消息。
**Maximum Events Per Second:**限制syslog每秒最大事件數量,用於啓用事件的速率限制以防止日誌事件淹沒內部或外部的記錄機制。在每秒最大事件數字段中指定事件的最大數量;最小數量爲 0,最大值爲 1000,默認值爲每秒 1000。
Maximum Bytes Per Second: 限制syslog每秒最大流量,用於啓用數據的速率限制以防止日誌事件淹沒內部或外部的記錄機制最小數量爲 0,最大值爲 1000000000,默認值爲每秒 10000000 字節。
有時候如果日誌過多的情況下,可以使用這兩個功能限制syslog流量,避免佔用流量太大影響網絡性能。
**Enhanced Syslog Fields Settings:**強化syslog過濾設置
ArcSight CEF Fields Settings: ArcSight CEF過濾設置
增強型日誌的設置,可以根據需要選擇需要發送的日誌信息。
配置完成之後,點擊accept按鈕應用配置。
![在這裏插入圖片描述]()
3.2 syslog配置範例
以windows版本的SyslogD爲例,配置方法如下:
安裝SyslogD軟件,安裝完成之後打開軟件,如圖:
確保系統防火牆放開514端口,或者直接關閉系統防火牆。
登錄防火牆,配置syslog,將syslog配置爲電腦IP:
網絡正常的情況下即可接受到日誌,如圖:
收集的日誌可以彙總成txt文件,默認會彙總到安裝目錄下,例如:
文件屬於純文本,可以使用文本文檔、記事本等打開:
由於可讀性較差,可以使用RnR_ReportGenS一類的。
安裝完成之後打開軟件,選擇日誌文件,然後點擊GO
之後軟件就會跟進你設置的過濾條件歸總出相關信息,例如圖中設置爲統計一些常規服務的帶寬使用。
SonicWALL支持標準的Syslog協議,所以軟件並不僅限於SyslogD,基本上所有支持syslog協議的軟件都可以使用。此處只是使用簡單的SyslogD軟件搭建演示。
3.3 Analyzer 與 GMS
Analyzer與GMS是SonicWALL 軟件產品,是官方出品的日誌分析整理工具。
Analyzer的主要作用是監視關鍵的網絡事件和活動,例如安全威脅,違規的Web使用和帶寬等。 SonicWALL Analyzer報告通過提供詳細而全面的網絡活動報告來完善SonicWALL的網絡安全產品。
Analyzer是一個軟件應用程序,可創建基於Web的動態網絡報告。Analyzer會生成實時報告和歷史報告,以通過SonicWALL防火牆提供所有活動的完整視圖。藉助Analyzer報告,可以監視網絡訪問,增強安全性並預測未來的帶寬需求。Analyzer包含以下模塊:
- 按IP地址和服務顯示帶寬使用情況
- 識別違規的Web使用
- 提供詳細的攻擊報告
- 收集和彙總系統和網絡錯誤
- 顯示VPN事件和問題
- 提供訪問者訪問您網站的流量
- 提供詳細的每日日誌以分析特定事件。
- 自動生成報告文檔
軟件截圖:
GMS與Analyzer類似,都具有日誌分析彙總的功能,不同的是GMS還兼具了防火牆管理的功能,GMS全稱是統一管理系統,除了日誌的歸總分析,還支持管理防火牆。同時,GMS的授權方式也與Analyzer有一定的區別,Analyzer使用設備授權,即設備有授權,日誌服務器本身無授權,授權是在設備上的。GMS則是使用服務器授權,即授權在服務器上,按照節點數量進行授權,設備本身無授權。
三、自動化設置
自動化設置可以讓防火牆自動將日誌發送到指定郵箱中去。要想發送到指定郵箱,我們需要給防火牆配置一個SMTP服務器以及相關賬號。
首先,我們要準備好一個郵件服務器以及郵件的帳號密碼,郵箱沒有什麼特殊的限制,只要是可以正常使用的即可。這裏我們假設我們使用的是QQ郵箱,QQ郵箱的SMTP服務器爲smtp.qq.com,端口是默認的25,給防火牆發送郵件用的帳號是sendmai.qq.com,需要接受郵件的帳號是[email protected]
設置SMTP服務器,想要防火牆可以發送郵件,首先我們需要給防火牆配置一個SMTP服務器,這裏的郵件服務器可以是內網的,也可以是外網的,這裏我們以QQ的郵箱爲例。
進入防火牆菜單log→Automation,配置Mail Server Settings項:
首先,我們配置Mail Server ,也就是QQ的SMTP服務器,即smtp.qq.com。
From E-mail Address,就是防火牆原來發送郵件的郵箱,這裏是[email protected]。
之後點擊Advanced,配置發送的帳號密碼以及smtp服務器的端口(默認是25)。點擊OK,完成配置。
配置發送方式
配置好郵箱之後,我們就可以指定接收郵箱了。
如圖,我們指定[email protected]爲指定郵箱,防火牆會把日誌(log)發送到第一個郵箱內,警告(Alerts)發送到第二個郵箱內,一般來說我們把兩個郵箱都統一成一個,如果覺得有必要也可以分開。
Send Log …… every 可以指定日誌發送的時間,
Daily:指定每天的某個時間發送,注意時間爲24小時制。
Weekly:指定每週的某一天某一時間發送。
When Full:當日志滿的時候發送。
Email Format: 是發送格式,可以選擇txt格式的或者是HTLM格式以及簡單的txt格式。具體配置可以根據個人需求修改。
配置防火牆發送日誌內容
防火牆日誌可能有的我們需要看,有的不需要,這時可以通過配置log→setting來達到過濾的目的。
進入log→setting,我們可以看到各種不同類型的防火牆日誌,後面對應着不同的屬性。假設我們需要network類別的日誌,那麼就可以設置network後面的Email,勾選對應的選項框,防火牆就會將network相關日誌在指定的時候發送到指定郵箱了。
至此,配置完成。防火牆即可發送相關日誌至指定郵箱了。
將日誌發送到FTP服務器
除了Email,防火牆還可以將日誌發送到FTP服務器上去,FTP簡單的多,勾選Send log to FTP,然後配置FTP服務器的IP、用戶名密碼、目錄即可。
下面可選發送的時機(每天、每週或者是日誌存滿的時候)以及格式。
![在這裏插入圖片描述]()
四、名稱解析
防火牆會使用 DNS 服務器或 NetBIOS 將日誌報告中的 IP 地址解析爲服務器名稱。
防火牆設備可以使用 DNS、 NetBIOS 或同時使用兩者解析 IP 地址和服務器名稱。一共有4個選項:
-
無:不會嘗試解析日誌報告中的 IP 地址和名稱。
-
DNS:防火牆將使用指定的 DNS 服務器解析地址和名稱。
-
NetBIOS:防火牆將使用 NetBIOS 解析地址和名稱。如果選擇 NetBIOS,則無需其他配置。
-
先 DNS 後 NetBIOS:防火牆將先使用指定的 DNS 服務器解析地址和名稱。如果無法解析名稱,將重新嘗試使用 NetBIOS
![在這裏插入圖片描述]()
服務器指定:可以手動指定DNS服務器地址(選項1)也可以動態從防火牆DNS設置中動態繼承地址。默認從防火牆DNS配置中動態繼承。最多可以指定3個DNS服務器。
![在這裏插入圖片描述]()
清除緩存:名稱/地址會存儲在緩存中以便查找,如果有問題,可以使用清除緩存按鈕清除緩存。
![在這裏插入圖片描述]()
五、報告
====
**報告(Report)**功能是一個簡單的數據採集模塊,防火牆可以對事件日誌執行滾動分析,以顯示 25 個最常訪問的網站、按 IP 地址消耗帶寬最多的前 25 個用戶和消耗
最多帶寬的 25 項服務。
5.1 界面
Report界面如下:
Start Date Collection**:**開始數據採集,點擊之後防火牆開始採集數據,點擊開始之後,再次點擊可以停止採集。
數據視圖,可以選擇查看網站點擊次數、帶寬消耗最多的IP以及帶寬消耗最多的服務。
Refresh Data**:**刷新數據,該網頁不會自動刷新,可以點擊按鈕刷新或者直接刷新頁面也可以。
Reset Data:重置數據,點擊之後可以清空當前收集的數據。
收集時間:採集器一共運行了多長時間採集了多長時間的數據。清空數據之後收集時間也會重置。
5.2數據採集的應用:
一般來說該功能主要用於判斷網絡異常流量,例如是否有用戶一直在下載傳輸數據,是否有中毒(部分病毒存在瘋狂傳輸數據的破壞行爲)。
選擇查看帶寬消耗最多的IP,如圖:
開始數據採集之後,可以採集到一段時間之內所有經過防火牆的IP的數據流量,以此可以很方便的判斷內網電腦是否存在異常。
一般如果內網存在問題的情況下就可以考慮使用該模塊採集5分鐘到30分鐘左右的數據,通過查看數據量判斷是否存在問題。例如在一般網絡中,如果5分鐘就使用了幾GB甚至幾十G流量的IP,那肯定是存在問題的。
[1] 啓用使用報告軟件的設置替代 Syslog 設置選項時, Syslog ID 字段固定爲防火牆,因此不能修改。