Netzwerkprotokolle

Kunden können Protokolle aller Netzwerk-Appliances aus einer einzigen Glasscheibe anzeigen und so eine schnelle Fehlerbehebung ermöglichen. Sie können Audit- und Geräteprotokolle anzeigen.

Überwachungsprotokolle

Überwachungsprotokolle erfassen die Aktion, die Zeit und das Ergebnis der Aktion, die von Benutzern im Kundennetzwerk ausgeführt wird.

Netzwerküberwachungsprotokolle

Geräteprotokolle

Kunden können die Geräteprotokolle anzeigen, die für Sites spezifisch sind.

Sie können bestimmte Geräteprotokolle auswählen, herunterladen und ggf. mit Site-Administratoren teilen.

Netzwerkgeräteprotokolle

Sicherheitsprotokolle

In der Citrix SD-WAN Appliance werden die Edge-Security-Ereignisse in der Datei SDWAN_Advanced_Firewall.log protokolliert. Die Protokolldatei wird in regelmäßigen Abständen je nach Größe gedreht, wobei bis zu 23 Archive oder Protokolle für einen Tag verbleiben, je nachdem, welcher Wert geringer ist. Betrachten Sie beispielsweise die folgenden zwei Anwendungsfälle:

  • Wenn die Protokolldatei mit einer Rate von 1 GB pro 20 Transaktionen (Protokolleinträge) gefüllt wird, stehen Protokolle für ca. 8 Stunden in der Appliance jederzeit zur Verfügung.
  • Wenn die Protokolldatei mit einer Rate von 1 GB pro Stunde oder langsamer gefüllt wird, stehen Protokolle für genau einen Tag in der Appliance zur Verfügung.

Hinweis:

Der Größenschwellenwert für die Protokollrotation hängt von der Appliance ab. Für die Citrix SD-WAN 1100-Appliance beträgt der Schwellenwert für die Protokollrotation 1 GB.

Um die Sicherheitsprotokolle von der Citrix SD-WAN Appliance zu empfangen, navigieren Sie in der Appliance-Benutzeroberfläche zu Konfiguration > Geräteeinstellungen > Protokollierung/Überwachung > Syslog-Server und stellen Sie sicher, dass die Option Firewall-Protokolle zu Syslog auf aktiviert gesetzt ist.

Abrufen von Orchestrator

Ähnlich wie bei anderen Appliance-Protokolldateien können Sie die Edge Security-Firewall-Protokolle von Citrix SD-WAN Orchestrator abrufen. Navigieren Sie auf Netzwerkebene zu Fehlerbehebung > Geräteprotokolle, wählen Sie eine Site mit aktiviertem Edge Security aus, wählen Sie die erweiterten Firewall-Protokolle aus, die Sie herunterladen möchten, und klicken Sie auf Herunterladen.

Netzwerk-Fehlerbehebung

Exportieren auf externen Syslog-Server

Wenn ein externer Syslog-Server auf der Appliance-Benutzeroberfläche konfiguriert ist (Geräteeinstellungen > Protokollierung/Überwachung > Syslog-Server), werden Edge-Sicherheitsprotokolle generiert und auf diesen Server abgeladen.

Log-Einträge

Dieser Abschnitt bietet einen Überblick über die verschiedenen Protokolleinträge in dieser Datei.

HTTP (S) -Ereignisse

HTTP (S) -Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit HTTP- und/oder HTTPS-Anforderung. In der folgenden Tabelle werden die verschiedenen Felder in einem HTTP-Protokolleintrag beschrieben.

Field Name Beschreibung
Zeitstempel Die Uhrzeit des Ereignisses ohne Zeitzone
session_id Die Sitzungskennung, ermöglicht die Korrelation mit Sitzungsereignissen
policy Die konfigurierte Sicherheitsrichtlinie
client_address Die Quell-IP-Adresse (clientseitig)
client_port Der Quellport (clientseitig)
server_address Die Ziel-IP-Adresse (serverseitig)
server_port Die Zielportadresse (serverseitig)
method Die HTTP-Methode (z. B. G für GET)
uri Der HTTP-URI mit Stripping-Abfragezeichenfolgen; dieses Feld ist auf 512 Bytes begrenzt
Host Der HTTP-Hostname
web_filter_reason Der Grund für den Webfilter die Anforderung blockiert/markiert hat
web_filter_category_id Die numerische Kategorie gemäß Webfilter
web_filter_blocked Wenn der Webfilter diese Anforderung blockiert hat, true, wenn false gesperrt wird, andernfalls
virus_blocker_clean Die Sauberkeit der Datei nach Anti-Malware, null, wenn fehlt
virus_blocker_name Der Name der Malware gemäß Anti-Malware, null, wenn fehlt
event_type Der Marker für die HTTP- und HTTPS-Datensätze (HTTP (s))

Ein typischer Protokolleintrag für eine zulässige Anforderung lautet wie folgt:

timestamp=2020-05-14T15:19:46 session_id=104156851843561 policy=aitwlos client_address=172.30.0.16 client_port=43474 server_address=147.102.222.211 server_port=80 method=G uri=/pub/linux/centos/8.1.1911/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso host=ftp.ntua.gr web_filter_reason=N web_filter_category_id=40 web_filter_blocked=false virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

Falls eine Anforderung durch die Web-Filteranwendung blockiert wird, wird das Feld web_filter_blocked auf TRUE gesetzt.

timestamp=2020-05-21T17:53:33 session_id=104201346751521 policy=profile_1 client_address=192.168.0.2 client_port=50666 server_address=13.227.223.5 server_port=443 method=G uri=/ host=www.espn.com web_filter_reason=D web_filter_category_id=42 web_filter_blocked=true virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

Falls eine Anforderung durch das Anti-Malware-Modul blockiert wird, wird der Name der Malware in das entsprechende Feld eingetragen.

timestamp=2020-05-26T09:01:35 session_id=104233671000368 policy=profile_2 client_address=192.168.0.4 client_port=33453 server_address=213.211.198.58 server_port=80 method=G uri=/download/eicar.com.txt host=2016.eicar.org web_filter_reason=N web_filter_category_id=56 web_filter_blocked=false virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=HTTP(s)

FTP-Ereignisse

Die FTP-Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit FTP-Anforderungen. In der folgenden Tabelle werden die verschiedenen Felder eines FTP-Protokolleintrags beschrieben:

Field Name Beschreibung
client_address Die Quell-IP-Adresse (clientseitig)
method Die FTP-Methode
policy Die konfigurierte Sicherheitsrichtlinie
server_address Die Ziel-IP-Adresse (serverseitig)
session_id Die Sitzung, ermöglicht die Korrelation mit Sitzungen
Zeitstempel Die Uhrzeit des Ereignisses ohne Zeitzone
uri Der FTP-URI
virus_blocker_clean Die Sauberkeit der Datei nach Anti-Malware
virus_blocker_name Der Name der Malware gemäß Anti-Malware

Ein typischer Protokolleintrag für eine FTP-Anforderung lautet wie folgt:

timestamp=2020-05-26T12:38:58 session_id=104228434064675 policy=Profile2 client_address=192.168.0.2 server_address=192.168.1.2 method=null uri=eicar.exe virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=FTP

SMTP-Ereignisse

Die SMTP-Protokolleinträge erfassen Benutzeraktivitäten im Zusammenhang mit unverschlüsselten E-Mails, die über das SMTP-Protokoll gesendet werden. In der folgenden Tabelle werden die verschiedenen Felder in einem SMTP-Protokolleintrag beschrieben:

Field Name Beschreibung
Zeitstempel Die Uhrzeit des Ereignisses ohne Zeitzone
session_id Die Sitzung, ermöglicht die Korrelation mit Sitzungen
policy Die konfigurierte Sicherheitsrichtlinie
client_address Die Quell-IP-Adresse (clientseitig)
client_port Der Quellport (clientseitig)
server_address Die Ziel-IP-Adresse (serverseitig)
server_port Die Zielportadresse (serverseitig)
msg_id Der Nachrichtenbezeichner
Antragsteller Der Betreff der E-Mail
sender Die Adresse des Absenders
Empfänger Die Adresse des Empfängers
virus_blocker_clean Die Sauberkeit der Datei nach Anti-Malware
virus_blocker_name Der Name der Malware gemäß Anti-Malware

Ein typischer Protokolleintrag für eine SMTP-Anforderung mit Virus lautet wie folgt:

timestamp=2020-05-25T16:29:14 session_id=104229438357679 policy=Profile1 client_address=192.168.0.3 client_port=54867 server_address=192.168.1.2 server_port=25 msg_id=104229438357614 subject=Subject Greetings sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=SMTP

Ein typischer Protokolleintrag für eine SMTP-Anforderung ohne Virus lautet wie folgt:

timestamp=2020-05-25T16:29:05 session_id=104229438357678 policy=Profile1 client_address=192.168.0.3 client_port=40467 server_address=192.168.1.2 server_port=25 msg_id=104229438357613 subject=Subject Greeting sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=true virus_blocker_name=null event_type=SMTP

Session-Ereignisse

Die Sitzungsprotokolleinträge erfassen Benutzeraktivitäten auf einem TCP-Layer. Sie ergänzen HTTP-, FTP- und SMTP-Ereignisse, indem sie Einblicke in den Zeitstempel der TCP-Sitzung geben.

Field Name Beschreibung
Zeitstempel Die Uhrzeit des Ereignisses ohne Zeitzone
session_id Die Sitzungskennung
end_time Die Zeit, zu der die Sitzung beendet wurde, Zeitstempel ohne Zeitzone
policy Die konfigurierte Sicherheitsrichtlinie
client_address Die Quell-IP-Adresse (clientseitig)
client_port Der Quellport (clientseitig)
server_address Die Ziel-IP-Adresse (serverseitig)
server_port Die Zielportadresse (serverseitig)
ssl_ruleid Die übereinstimmende Regel in der SSL-Inspector-Regel, null, wenn fehlt
ssl_status Status/Aktion der SSL-Sitzung (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null, wenn fehlt
ssl_details Zusätzliche Textdetails zur SSL-Verbindung (SNI, IP), null, wenn fehlt
event_type Zwei mögliche Werte: new_session oder session_closed

Ein typischer Protokolleintrag für ein neues Sitzungsereignis lautet wie folgt:

timestamp=2020-05-21T18:49:46 session_id=104201346751773 end_time=2020-05-21T18:49:46 policy=profile1 client_address=192.168.0.2 client_port=37496 server_address=13.227.223.124 server_port=443 ssl_ruleid=null ssl_status=null ssl_details=null event_type=new_session

Ein typischer Protokolleintrag für ein geschlossenes Sitzungsereignis lautet wie folgt:

timestamp=2020-05-15T14:03:59 session_id=104172750410023 end_time=2020-05-15T14:04:00 policy=aitwlos client_address=169.254.100.2 client_port=123 server_address=176.58.127.165 server_port=123 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_closed

Session-Aktualisierungen

Die Sitzung aktualisiert Protokolleinträge erfassen Benutzeraktivitäten auf einem TCP-Layer für lange laufende Sitzungen auf einer Minutenbasis. Sitzungsaktualisierungen helfen dabei, vorhandene Protokolleinträge (HTTP-, SMTP-, FTP- und Sitzungsereignisse) zu identifizieren, die noch geöffneten Sitzungen entsprechen. Entsprechende Ereignisse können entweder ignoriert oder als “vorläufige” behandelt werden, da der Sitzungsschluss bestimmte Attribute (d. h. die Endzeit der Sitzung) aktualisieren kann.

Field Name Beschreibung
timestamp Die Uhrzeit des Ereignisses, Zeitstempel ohne Zeitzone
session_id Die Sitzungskennung
start_time Die Startzeit der Sitzung, Zeitstempel ohne Zeitzone
end_time Die Zeit, zu der die Sitzung beendet wurde, Zeitstempel ohne Zeitzone
policy Die konfigurierte Sicherheitsrichtlinie
client_address Die Quell-IP-Adresse (clientseitig)
client_port Der Quellport (clientseitig)
server_address Die Ziel-IP-Adresse (serverseitig)
server_port Die Zielportadresse (serverseitig)
ssl_ruleid Die übereinstimmende Regel in der SSL-Inspector-Regel, null, wenn fehlt
ssl_status Status/Aktion der SSL-Sitzung (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null, wenn fehlt
ssl_details Zusätzliche Textdetails zur SSL-Verbindung (SNI, IP-Adresse), null, wenn fehlt
event_type Der Marker für aktuell aktualisierte Sitzungen (session_update)

Ein typischer Protokolleintrag für ein Sitzungsaktualisierungsereignis lautet wie folgt:

timestamp=2020-05-15T16:17:00 session_id=104173025813804 start_time=2020-05-15T16:15:53 end_time=2020-05-15T16:15:54 policy=testPolicy client_address=169.254.100.2 client_port=46249 server_address=169.254.100.1 server_port=53 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_update

IPS-Ereignisse

Die IPS-Protokolleinträge erfassen den Datenverkehr, der eine IPS-Signatur ausgelöst hat, die zu einem der ausgewählten IPS-Klassentypen oder -kategorien gehört, und löst eine nicht deaktivierte Regelaktion aus.

Field Name Beschreibung
timestamp Die Uhrzeit des Ereignisses, Zeitstempel ohne Zeitzone
signature_id Diese ID der Regel
grouping_id Die Gruppierungs-ID für die Regel. Die Gruppen-ID + Signatur-ID gibt den eindeutigen Bezeichner der Regel an.
classtype_id Die numerische ID für den Klassentyp
source_address Die Quell-IP-Adresse des Pakets
source_port Der Quellport des Pakets (falls zutreffend)
destination_address Die Ziel-IP-Adresse des Pakets
destination_port Der Zielport des Pakets (falls zutreffend)
protocol Das Protokoll des Pakets
blocked Wenn das Paket blockiert (true) oder gelöscht wurde (false)
category Die anwendungsspezifische Gruppierung für die Signatur
classtype Die generalisierte Gruppierung von Signaturen für Bedrohungen (unabhängig von Gruppierungs-ID)
message Der “Titel” oder “Beschreibung” der Unterschrift
event_type Der Marker für IPS- und IDS-Ereignisse (IPS/IDS)

Ein typischer Protokolleintrag für ein IPS-Ereignis lautet wie folgt:

timestamp=2020-05-15T14:04:50 signature_id=2002752 grouping_id=1 classtype_id=3 source_address=192.168.100.55 source_port=32838 destination_address=22.22.22.163 destination_port=80 protocol=6 blocked=false category=policy classtype=bad-unknown message="ET POLICY Reserved Internal IP Traffic" event_type=IPS/IDS
Netzwerkprotokolle