1 votes

Signification des chiffres sur Watchguard Traffic Monitor

En regardant le Traffic Monitor, vous verrez des colonnes de chiffres. Cependant, vous ne savez pas toujours à quoi ils servent. Malheureusement, je n'ai pas assez de réputation pour poster des images mais je vais essayer d'expliquer ce que je regarde.

Quelqu'un peut-il me faire savoir ce qui suit. Merci.
1) Quels sont les chiffres des colonnes 7, 12 et 13 ?
2) Quelle est la différence entre ce qui est indiqué dans les colonnes 6 et 8 ?

Column  Description
1   Date
2   Time
3   Shows "Allowed", Deny", etc
4   Source IP
5   Destination IP the Source IP is trying to target (ie Firebox's external IP for incoming traffic)
6   Protocol (Port name and sometimes Port number is shown also)
7   Unknown
8   Protocol (Port number but not sure difference from column 5 above)
9   Network from which Source IP originates from
10  Network to which Destination IP is at
11  Shows "Allowed", "blocked ports", etc
12  Unknown
13  Unknown
14  Policy name

0 votes

Pouvez-vous ajouter une ou deux lignes d'exemple provenant du moniteur de trafic ?

0 votes

2013-10-04 23:50:29 Deny 192.168.10.1 192.168.10.13 8000/tcp 4019 8000 0-External 0-Optional Bridge blocked ports 60 63 (Internal Policy) proc_id="firewall" rc="101" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2698964068 win 5840" Traffic 2013-10-04 23:50:32 Deny 192. 168.10.1 192.168.10.13 8000/tcp 4019 8000 0-Externe 0-Optionnel Pont ports bloqués 60 63 (Politique Interne) proc_id="firewall" rc="101" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2698964068 win 5840" Trafic

0 votes

2013-10-04 23:50:32 Allow 192.168.10.1 192.168.10.13 webcache/tcp 4135 8080 0-External 0-Optional Bridge Allowed 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2689599964 win 5840" Traffic 2013-10-04 23:50:32 Allow 192. 168.10.1 192.168.10.13 rdp/tcp 3896 3389 0-Externe 0-Optionnel Pont Autorisé 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2702431472 win 5840" Trafic

2voto

p11y Points 14785

Les gars, j'ai trouvé la réponse ! Sur Firebox System Manager (celui que vous utilisez pour regarder Traffic Monitor), cliquez sur File -> Settings. Cochez la case "Show Log Field Names" et cliquez sur OK. Voici les réponses :

Date
Time
Permission (ie Allow, Deny, etc)
src_ip
dst_ip
pr (ie the looked up protocol such as ntp/udp, 8080/udp, 6699/udp, netbios-ns/udp, dns/udp, etc)
src_port
dst_port
src_intf
dst_intf
msg
pckt_len
ttl
policy (ie the policy you figured in the Policy Manager or an internal firebox policy)
proxy_action (I'm not seeing anything here but there's actually a column for this)
proc_id (Mine are showing "firewall")
rc (no idea what this is)
src_ip_nat
src_port_nat

0voto

Grant Points 16706

Le champ 7 est probablement le port source.

Je ne suis pas encore sûr des deux autres.

0 votes

C'est ce que j'ai supposé aussi, mais je cherchais quelque chose de plus solide. Existe-t-il un tableau décrivant ces éléments auquel nous pourrions nous référer ? En particulier pour les colonnes 12 et 13.

0voto

mike Points 1

Dans le moniteur de trafic, si vous faites un clic droit sur une entrée de trafic, vous pouvez modifier les paramètres du moniteur de trafic. Dans les paramètres de l'écran de trafic, l'en-tête de chaque colonne est affiché.

Ils le sont :

Heure - Disposition - IP source - IP destination - protocole - port source - port destination - interface source - interface destination - message - longueur du paquet - temps de vie - politique - action du proxy - répétition - détails

0voto

EDP-520 Points 1

Depuis la source - consultez la documentation officielle. Ensuite, n'oubliez pas de chercher sur Google et de trouver ce lien.

http://www.watchguard.com/support/fireware_howto/HowTo_ReadFirewareLogs.pdf

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X