Netzwerkprotokolle
Kunden können Protokolle aller Netzwerk-Appliances aus einer einzigen Glasscheibe anzeigen und so eine schnelle Fehlerbehebung ermöglichen. Sie können Audit- und Geräteprotokolle anzeigen.
Überwachungsprotokolle
Überwachungsprotokolle erfassen die Aktion, die Zeit und das Ergebnis der Aktion, die von Benutzern im Kundennetzwerk ausgeführt wird.
Geräteprotokolle
Kunden können die Geräteprotokolle anzeigen, die für Sites spezifisch sind.
Sie können bestimmte Geräteprotokolle auswählen, herunterladen und ggf. mit Site-Administratoren teilen.
Sicherheitsprotokolle
In der Citrix SD-WAN Appliance werden die Edge-Security-Ereignisse in der Datei SDWAN_Advanced_Firewall.log protokolliert. Die Protokolldatei wird in regelmäßigen Abständen je nach Größe gedreht, wobei bis zu 23 Archive oder Protokolle für einen Tag verbleiben, je nachdem, welcher Wert geringer ist. Betrachten Sie beispielsweise die folgenden zwei Anwendungsfälle:
- Wenn die Protokolldatei mit einer Rate von 1 GB pro 20 Transaktionen (Protokolleinträge) gefüllt wird, stehen Protokolle für ca. 8 Stunden in der Appliance jederzeit zur Verfügung.
- Wenn die Protokolldatei mit einer Rate von 1 GB pro Stunde oder langsamer gefüllt wird, stehen Protokolle für genau einen Tag in der Appliance zur Verfügung.
Hinweis:
Der Größenschwellenwert für die Protokollrotation hängt von der Appliance ab. Für die Citrix SD-WAN 1100-Appliance beträgt der Schwellenwert für die Protokollrotation 1 GB.
Um die Sicherheitsprotokolle von der Citrix SD-WAN Appliance zu empfangen, navigieren Sie in der Appliance-Benutzeroberfläche zu Konfiguration > Geräteeinstellungen > Protokollierung/Überwachung > Syslog-Server und stellen Sie sicher, dass die Option Firewall-Protokolle zu Syslog auf aktiviert gesetzt ist.
Abrufen von Orchestrator
Ähnlich wie bei anderen Appliance-Protokolldateien können Sie die Edge Security-Firewall-Protokolle von Citrix SD-WAN Orchestrator abrufen. Navigieren Sie auf Netzwerkebene zu Fehlerbehebung > Geräteprotokolle, wählen Sie eine Site mit aktiviertem Edge Security aus, wählen Sie die erweiterten Firewall-Protokolle aus, die Sie herunterladen möchten, und klicken Sie auf Herunterladen.
Exportieren auf externen Syslog-Server
Wenn ein externer Syslog-Server auf der Appliance-Benutzeroberfläche konfiguriert ist (Geräteeinstellungen > Protokollierung/Überwachung > Syslog-Server), werden Edge-Sicherheitsprotokolle generiert und auf diesen Server abgeladen.
Log-Einträge
Dieser Abschnitt bietet einen Überblick über die verschiedenen Protokolleinträge in dieser Datei.
HTTP (S) -Ereignisse
HTTP (S) -Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit HTTP- und/oder HTTPS-Anforderung. In der folgenden Tabelle werden die verschiedenen Felder in einem HTTP-Protokolleintrag beschrieben.
| Field Name | Beschreibung |
|---|---|
| Zeitstempel | Die Uhrzeit des Ereignisses ohne Zeitzone |
| session_id | Die Sitzungskennung, ermöglicht die Korrelation mit Sitzungsereignissen |
| policy | Die konfigurierte Sicherheitsrichtlinie |
| client_address | Die Quell-IP-Adresse (clientseitig) |
| client_port | Der Quellport (clientseitig) |
| server_address | Die Ziel-IP-Adresse (serverseitig) |
| server_port | Die Zielportadresse (serverseitig) |
| method | Die HTTP-Methode (z. B. G für GET) |
| uri | Der HTTP-URI mit Stripping-Abfragezeichenfolgen; dieses Feld ist auf 512 Bytes begrenzt |
| Host | Der HTTP-Hostname |
| web_filter_reason | Der Grund für den Webfilter die Anforderung blockiert/markiert hat |
| web_filter_category_id | Die numerische Kategorie gemäß Webfilter |
| web_filter_blocked | Wenn der Webfilter diese Anforderung blockiert hat, true, wenn false gesperrt wird, andernfalls |
| virus_blocker_clean | Die Sauberkeit der Datei nach Anti-Malware, null, wenn fehlt |
| virus_blocker_name | Der Name der Malware gemäß Anti-Malware, null, wenn fehlt |
| event_type | Der Marker für die HTTP- und HTTPS-Datensätze (HTTP (s)) |
Ein typischer Protokolleintrag für eine zulässige Anforderung lautet wie folgt:
timestamp=2020-05-14T15:19:46 session_id=104156851843561 policy=aitwlos client_address=172.30.0.16 client_port=43474 server_address=147.102.222.211 server_port=80 method=G uri=/pub/linux/centos/8.1.1911/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso host=ftp.ntua.gr web_filter_reason=N web_filter_category_id=40 web_filter_blocked=false virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)
Falls eine Anforderung durch die Web-Filteranwendung blockiert wird, wird das Feld web_filter_blocked auf TRUE gesetzt.
timestamp=2020-05-21T17:53:33 session_id=104201346751521 policy=profile_1 client_address=192.168.0.2 client_port=50666 server_address=13.227.223.5 server_port=443 method=G uri=/ host=www.espn.com web_filter_reason=D web_filter_category_id=42 web_filter_blocked=true virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)
Falls eine Anforderung durch das Anti-Malware-Modul blockiert wird, wird der Name der Malware in das entsprechende Feld eingetragen.
timestamp=2020-05-26T09:01:35 session_id=104233671000368 policy=profile_2 client_address=192.168.0.4 client_port=33453 server_address=213.211.198.58 server_port=80 method=G uri=/download/eicar.com.txt host=2016.eicar.org web_filter_reason=N web_filter_category_id=56 web_filter_blocked=false virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=HTTP(s)
FTP-Ereignisse
Die FTP-Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit FTP-Anforderungen. In der folgenden Tabelle werden die verschiedenen Felder eines FTP-Protokolleintrags beschrieben:
| Field Name | Beschreibung |
|---|---|
| client_address | Die Quell-IP-Adresse (clientseitig) |
| method | Die FTP-Methode |
| policy | Die konfigurierte Sicherheitsrichtlinie |
| server_address | Die Ziel-IP-Adresse (serverseitig) |
| session_id | Die Sitzung, ermöglicht die Korrelation mit Sitzungen |
| Zeitstempel | Die Uhrzeit des Ereignisses ohne Zeitzone |
| uri | Der FTP-URI |
| virus_blocker_clean | Die Sauberkeit der Datei nach Anti-Malware |
| virus_blocker_name | Der Name der Malware gemäß Anti-Malware |
Ein typischer Protokolleintrag für eine FTP-Anforderung lautet wie folgt:
timestamp=2020-05-26T12:38:58 session_id=104228434064675 policy=Profile2 client_address=192.168.0.2 server_address=192.168.1.2 method=null uri=eicar.exe virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=FTP
SMTP-Ereignisse
Die SMTP-Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit unverschlüsselten E-Mails, die über das SMTP-Protokoll gesendet werden. In der folgenden Tabelle werden die verschiedenen Felder in einem SMTP-Protokolleintrag beschrieben:
| Field Name | Beschreibung |
|---|---|
| Zeitstempel | Die Uhrzeit des Ereignisses ohne Zeitzone |
| session_id | Die Sitzung, ermöglicht die Korrelation mit Sitzungen |
| policy | Die konfigurierte Sicherheitsrichtlinie |
| client_address | Die Quell-IP-Adresse (clientseitig) |
| client_port | Der Quellport (clientseitig) |
| server_address | Die Ziel-IP-Adresse (serverseitig) |
| server_port | Die Zielportadresse (serverseitig) |
| msg_id | Der Nachrichtenbezeichner |
| Antragsteller | Der Betreff der E-Mail |
| sender | Die Adresse des Absenders |
| Empfänger | Die Adresse des Empfängers |
| virus_blocker_clean | Die Sauberkeit der Datei nach Anti-Malware |
| virus_blocker_name | Der Name der Malware gemäß Anti-Malware |
Ein typischer Protokolleintrag für eine SMTP-Anforderung mit Virus lautet wie folgt:
timestamp=2020-05-25T16:29:14 session_id=104229438357679 policy=Profile1 client_address=192.168.0.3 client_port=54867 server_address=192.168.1.2 server_port=25 msg_id=104229438357614 subject=Subject Greetings sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=SMTP
Ein typischer Protokolleintrag für eine SMTP-Anforderung ohne Virus lautet wie folgt:
timestamp=2020-05-25T16:29:05 session_id=104229438357678 policy=Profile1 client_address=192.168.0.3 client_port=40467 server_address=192.168.1.2 server_port=25 msg_id=104229438357613 subject=Subject Greeting sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=true virus_blocker_name=null event_type=SMTP
Session-Ereignisse
Die Sitzungsprotokolleinträge erfassen Benutzeraktivitäten auf einem TCP-Layer. Sie ergänzen HTTP-, FTP- und SMTP-Ereignisse, indem sie Einblicke in den Zeitstempel der TCP-Sitzung geben.
| Field Name | Beschreibung |
|---|---|
| Zeitstempel | Die Uhrzeit des Ereignisses ohne Zeitzone |
| session_id | Die Sitzungskennung |
| end_time | Die Zeit, zu der die Sitzung beendet wurde, Zeitstempel ohne Zeitzone |
| policy | Die konfigurierte Sicherheitsrichtlinie |
| client_address | Die Quell-IP-Adresse (clientseitig) |
| client_port | Der Quellport (clientseitig) |
| server_address | Die Ziel-IP-Adresse (serverseitig) |
| server_port | Die Zielportadresse (serverseitig) |
| ssl_ruleid | Die übereinstimmende Regel in der SSL-Inspector-Regel, null, wenn fehlt |
| ssl_status | Status/Aktion der SSL-Sitzung (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null, wenn fehlt |
| ssl_details | Zusätzliche Textdetails zur SSL-Verbindung (SNI, IP), null, wenn fehlt |
| event_type | Zwei mögliche Werte: new_session oder session_closed |
Ein typischer Protokolleintrag für ein neues Sitzungsereignis lautet wie folgt:
timestamp=2020-05-21T18:49:46 session_id=104201346751773 end_time=2020-05-21T18:49:46 policy=profile1 client_address=192.168.0.2 client_port=37496 server_address=13.227.223.124 server_port=443 ssl_ruleid=null ssl_status=null ssl_details=null event_type=new_session
Ein typischer Protokolleintrag für ein geschlossenes Sitzungsereignis lautet wie folgt:
timestamp=2020-05-15T14:03:59 session_id=104172750410023 end_time=2020-05-15T14:04:00 policy=aitwlos client_address=169.254.100.2 client_port=123 server_address=176.58.127.165 server_port=123 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_closed
Session-Aktualisierungen
Die Sitzung aktualisiert Protokolleinträge erfassen Benutzeraktivitäten auf einem TCP-Layer für lange laufende Sitzungen auf einer Minutenbasis. Sitzungsaktualisierungen helfen dabei, vorhandene Protokolleinträge (HTTP-, SMTP-, FTP- und Sitzungsereignisse) zu identifizieren, die noch geöffneten Sitzungen entsprechen. Entsprechende Ereignisse können entweder ignoriert oder als “vorläufige” behandelt werden, da der Sitzungsschluss bestimmte Attribute (d. h. die Endzeit der Sitzung) aktualisieren kann.
| Field Name | Beschreibung |
|---|---|
| timestamp | Die Uhrzeit des Ereignisses, Zeitstempel ohne Zeitzone |
| session_id | Die Sitzungskennung |
| start_time | Die Startzeit der Sitzung, Zeitstempel ohne Zeitzone |
| end_time | Die Zeit, zu der die Sitzung beendet wurde, Zeitstempel ohne Zeitzone |
| policy | Die konfigurierte Sicherheitsrichtlinie |
| client_address | Die Quell-IP-Adresse (clientseitig) |
| client_port | Der Quellport (clientseitig) |
| server_address | Die Ziel-IP-Adresse (serverseitig) |
| server_port | Die Zielportadresse (serverseitig) |
| ssl_ruleid | Die übereinstimmende Regel in der SSL-Inspector-Regel, null, wenn fehlt |
| ssl_status | Status/Aktion der SSL-Sitzung (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null, wenn fehlt |
| ssl_details | Zusätzliche Textdetails zur SSL-Verbindung (SNI, IP-Adresse), null, wenn fehlt |
| event_type | Der Marker für aktuell aktualisierte Sitzungen (session_update) |
Ein typischer Protokolleintrag für ein Sitzungsaktualisierungsereignis lautet wie folgt:
timestamp=2020-05-15T16:17:00 session_id=104173025813804 start_time=2020-05-15T16:15:53 end_time=2020-05-15T16:15:54 policy=testPolicy client_address=169.254.100.2 client_port=46249 server_address=169.254.100.1 server_port=53 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_update
IPS-Ereignisse
Die IPS-Protokolleinträge erfassen den Datenverkehr, der eine IPS-Signatur ausgelöst hat, die zu einem der ausgewählten IPS-Klassentypen oder -kategorien gehört, und löst eine nicht deaktivierte Regelaktion aus.
| Field Name | Beschreibung |
|---|---|
| timestamp | Die Uhrzeit des Ereignisses, Zeitstempel ohne Zeitzone |
| signature_id | Diese ID der Regel |
| grouping_id | Die Gruppierungs-ID für die Regel. Die Gruppen-ID + Signatur-ID gibt den eindeutigen Bezeichner der Regel an. |
| classtype_id | Die numerische ID für den Klassentyp |
| source_address | Die Quell-IP-Adresse des Pakets |
| source_port | Der Quellport des Pakets (falls zutreffend) |
| destination_address | Die Ziel-IP-Adresse des Pakets |
| destination_port | Der Zielport des Pakets (falls zutreffend) |
| protocol | Das Protokoll des Pakets |
| blocked | Wenn das Paket blockiert (true) oder gelöscht wurde (false) |
| category | Die anwendungsspezifische Gruppierung für die Signatur |
| classtype | Die generalisierte Gruppierung von Signaturen für Bedrohungen (unabhängig von Gruppierungs-ID) |
| message | Der “Titel” oder “Beschreibung” der Unterschrift |
| event_type | Der Marker für IPS- und IDS-Ereignisse (IPS/IDS) |
Ein typischer Protokolleintrag für ein IPS-Ereignis lautet wie folgt:
timestamp=2020-05-15T14:04:50 signature_id=2002752 grouping_id=1 classtype_id=3 source_address=192.168.100.55 source_port=32838 destination_address=22.22.22.163 destination_port=80 protocol=6 blocked=false category=policy classtype=bad-unknown message="ET POLICY Reserved Internal IP Traffic" event_type=IPS/IDS