1 votes

p11y avatar

Signification des chiffres sur Watchguard Traffic Monitor

Demandé el 14 de Octobre, 2013
Quand la question a-t-elle été
9303 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

En regardant le Traffic Monitor, vous verrez des colonnes de chiffres. Cependant, vous ne savez pas toujours à quoi ils servent. Malheureusement, je n'ai pas assez de réputation pour poster des images mais je vais essayer d'expliquer ce que je regarde.

Quelqu'un peut-il me faire savoir ce qui suit. Merci.
1) Quels sont les chiffres des colonnes 7, 12 et 13 ?
2) Quelle est la différence entre ce qui est indiqué dans les colonnes 6 et 8 ?

Column  Description
1   Date
2   Time
3   Shows "Allowed", Deny", etc
4   Source IP
5   Destination IP the Source IP is trying to target (ie Firebox's external IP for incoming traffic)
6   Protocol (Port name and sometimes Port number is shown also)
7   Unknown
8   Protocol (Port number but not sure difference from column 5 above)
9   Network from which Source IP originates from
10  Network to which Destination IP is at
11  Shows "Allowed", "blocked ports", etc
12  Unknown
13  Unknown
14  Policy name
Demandé el 14 de Octobre, 2013 par p11y

0 votes

Avatar de Grant

Pouvez-vous ajouter une ou deux lignes d'exemple provenant du moniteur de trafic ?

Commenté el 14 de Octobre, 2013 par Grant

0 votes

Avatar de p11y

2013-10-04 23:50:29 Deny 192.168.10.1 192.168.10.13 8000/tcp 4019 8000 0-External 0-Optional Bridge blocked ports 60 63 (Internal Policy) proc_id="firewall" rc="101" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2698964068 win 5840" Traffic 2013-10-04 23:50:32 Deny 192. 168.10.1 192.168.10.13 8000/tcp 4019 8000 0-Externe 0-Optionnel Pont ports bloqués 60 63 (Politique Interne) proc_id="firewall" rc="101" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2698964068 win 5840" Trafic

Commenté el 14 de Octobre, 2013 par p11y

0 votes

Avatar de p11y

2013-10-04 23:50:32 Allow 192.168.10.1 192.168.10.13 webcache/tcp 4135 8080 0-External 0-Optional Bridge Allowed 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2689599964 win 5840" Traffic 2013-10-04 23:50:32 Allow 192. 168.10.1 192.168.10.13 rdp/tcp 3896 3389 0-Externe 0-Optionnel Pont Autorisé 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2702431472 win 5840" Trafic

Commenté el 14 de Octobre, 2013 par p11y

Réponses

Trop de publicités?

2voto

p11y avatar
p11y Points 14785

Les gars, j'ai trouvé la réponse ! Sur Firebox System Manager (celui que vous utilisez pour regarder Traffic Monitor), cliquez sur File -> Settings. Cochez la case "Show Log Field Names" et cliquez sur OK. Voici les réponses :

Date
Time
Permission (ie Allow, Deny, etc)
src_ip
dst_ip
pr (ie the looked up protocol such as ntp/udp, 8080/udp, 6699/udp, netbios-ns/udp, dns/udp, etc)
src_port
dst_port
src_intf
dst_intf
msg
pckt_len
ttl
policy (ie the policy you figured in the Policy Manager or an internal firebox policy)
proxy_action (I'm not seeing anything here but there's actually a column for this)
proc_id (Mine are showing "firewall")
rc (no idea what this is)
src_ip_nat
src_port_nat
Répondu el 25 de Décembre, 2013 par p11y (14785 Points )

0voto

Grant avatar
Grant Points 16706

Le champ 7 est probablement le port source.

Je ne suis pas encore sûr des deux autres.

Répondu el 14 de Octobre, 2013 par Grant (16706 Points )

0 votes

Avatar de p11y

C'est ce que j'ai supposé aussi, mais je cherchais quelque chose de plus solide. Existe-t-il un tableau décrivant ces éléments auquel nous pourrions nous référer ? En particulier pour les colonnes 12 et 13.

Commenté el 14 de Octobre, 2013 par p11y

0voto

mike avatar
mike Points 1

Dans le moniteur de trafic, si vous faites un clic droit sur une entrée de trafic, vous pouvez modifier les paramètres du moniteur de trafic. Dans les paramètres de l'écran de trafic, l'en-tête de chaque colonne est affiché.

Ils le sont :

Heure - Disposition - IP source - IP destination - protocole - port source - port destination - interface source - interface destination - message - longueur du paquet - temps de vie - politique - action du proxy - répétition - détails

Répondu el 21 de Novembre, 2013 par mike (1 Points )

0voto

EDP-520 avatar
EDP-520 Points 1

Depuis la source - consultez la documentation officielle. Ensuite, n'oubliez pas de chercher sur Google et de trouver ce lien.

http://www.watchguard.com/support/fireware_howto/HowTo_ReadFirewareLogs.pdf

Répondu el 27 de Octobre, 2014 par EDP-520 (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X