Registros de red

Los clientes pueden ver los registros de todos los dispositivos de red desde un único panel de cristal, lo que permite la solución de problemas rápida. Puede ver los registros de auditoría y dispositivos.

Registros de auditoría

Los registros de auditoría capturan la acción, el tiempo y el resultado de la acción realizada por los usuarios en la red del cliente.

Registros de auditoría de red

Registros de dispositivos

Los clientes pueden ver los registros de dispositivos específicos de los sitios.

Puede seleccionar registros específicos de dispositivos, descargarlos y compartirlos con los administradores del sitio si es necesario.

Registros de dispositivos de red

Registros de seguridad

En el dispositivo Citrix SD-WAN, los sucesos de seguridad perimetral se registran en el archivo SDWAN_Advanced_Firewall.log. El archivo de registro se rota periódicamente en función del tamaño, con hasta 23 archivos o un día de registros restantes, lo que sea menor. Por ejemplo, considere los dos casos de uso siguientes:

  • Si el archivo de registro se llena a una velocidad de 1 GB por 20 transacciones (entradas de registro), los registros de aproximadamente 8 horas estarán disponibles, en el dispositivo, en cualquier momento dado.
  • Si el archivo de registro se llena a una velocidad de 1 GB por hora o más lenta, los registros de exactamente un día están disponibles en el dispositivo.

Nota

El umbral de tamaño para la rotación del registro depende del dispositivo. Para el dispositivo Citrix SD-WAN 1100, el umbral de tamaño de rotación del registro es de 1 GB.

Para recibir los registros de seguridad del dispositivo Citrix SD-WAN, en la interfaz de usuario del dispositivo, vaya a Configuración > Configuración del equipo > Logging/Monitoring > Servidor de Syslog y asegúrese de que la opción Registros del firewall en Syslog es habilitado.

Recuperación del orquestador

Al igual que con otros archivos de registro del dispositivo, puede recuperar los registros del firewall de seguridad perimetral desde Citrix SD-WAN Orchestrator. En el nivel de red, vaya a Solución de problemas > Registros de dispositivos, seleccione un sitio con Seguridad perimetral habilitada, seleccione los registros de Firewall avanzados que desea descargar y haga clic en Descargar.

Solución de problemas de red

Exportar a servidor syslog externo

Si se configura un servidor syslog externo en la interfaz de usuario deldispositivo (Configuración del equipo > Logging/Monitoring > Servidor Syslog), los registros de seguridad perimetral se generan y descargan en este servidor.

Entradas de registro

En esta sección se proporciona una descripción general de las distintas entradas de registro de este archivo.

Eventos HTTP (S)

Las entradas de registro HTTP (S) capturan la actividad del usuario relacionada con la solicitud HTTP y/o HTTPS. La siguiente tabla describe los diversos campos de una entrada de registro HTTP.

Nombre de campo Descripción
timestamp La hora del evento, sin zona horaria
session_id El identificador de sesión, permite la correlación con los eventos de sesión
policy La directiva de seguridad configurada
client_address La dirección IP de origen (lado del cliente)
client_port El puerto de origen (lado del cliente)
server_address La dirección IP de destino (lado del servidor)
server_port La dirección del puerto de destino (lado del servidor)
método El método HTTP (por ejemplo, G para GET)
uri El URI HTTP, con cadenas de consulta despojadas; este campo está limitado a 512 bytes
Host El nombre de host HTTP
web_filter_reason El motivo por el que el filtro web bloqueó o marcó la solicitud
web_filter_category_id La categoría numérica según el filtro web
web_filter_bloqueado Si el filtro web bloqueó esta solicitud, true si está bloqueado false en caso contrario
virus_blocker_clean La limpieza del archivo de acuerdo con Anti-Malware, nulo si falta
nombre_bloque virus_bloque El nombre del malware según Anti-Malware, nulo si falta
event_type El marcador para los registros HTTP y HTTPS (HTTP (s))

Una entrada de registro típica para una solicitud permitida es la siguiente:

timestamp=2020-05-14T15:19:46 session_id=104156851843561 policy=aitwlos client_address=172.30.0.16 client_port=43474 server_address=147.102.222.211 server_port=80 method=G uri=/pub/linux/centos/8.1.1911/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso host=ftp.ntua.gr web_filter_reason=N web_filter_category_id=40 web_filter_blocked=false virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

En caso de que la aplicación de filtrado web bloquee una solicitud, el campo web_filter_blocked se establece en TRUE.

timestamp=2020-05-21T17:53:33 session_id=104201346751521 policy=profile_1 client_address=192.168.0.2 client_port=50666 server_address=13.227.223.5 server_port=443 method=G uri=/ host=www.espn.com web_filter_reason=D web_filter_category_id=42 web_filter_blocked=true virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

En caso de que el módulo Anti-Malware bloquee una solicitud, el nombre del malware se rellena en el campo correspondiente.

timestamp=2020-05-26T09:01:35 session_id=104233671000368 policy=profile_2 client_address=192.168.0.4 client_port=33453 server_address=213.211.198.58 server_port=80 method=G uri=/download/eicar.com.txt host=2016.eicar.org web_filter_reason=N web_filter_category_id=56 web_filter_blocked=false virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=HTTP(s)

Eventos FTP

Las entradas del registro FTP capturan la actividad del usuario relacionada con las solicitudes FTP. La siguiente tabla describe los diversos campos de una entrada de registro FTP:

Nombre de campo Descripción
client_address La dirección IP de origen (lado del cliente)
método El método FTP
policy La directiva de seguridad configurada
server_address La dirección IP de destino (lado del servidor)
session_id La sesión, permite la correlación con las sesiones
timestamp La hora del evento, sin zona horaria
uri El URI FTP
virus_blocker_clean La limpieza del archivo según Anti-Malware
nombre_bloque virus_bloque El nombre del malware según Anti-Malware

Una entrada de registro típica para una solicitud FTP es la siguiente:

timestamp=2020-05-26T12:38:58 session_id=104228434064675 policy=Profile2 client_address=192.168.0.2 server_address=192.168.1.2 method=null uri=eicar.exe virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=FTP

Eventos SMTP

Las entradas del registro SMTP capturan la actividad del usuario relacionada con el correo electrónico no cifrado, enviado mediante el protocolo SMTP. La siguiente tabla describe los diversos campos de una entrada de registro SMTP:

Nombre de campo Descripción
timestamp La hora del evento, sin zona horaria
session_id La sesión, permite la correlación con las sesiones
policy La directiva de seguridad configurada
client_address La dirección IP de origen (lado del cliente)
client_port El puerto de origen (lado del cliente)
server_address La dirección IP de destino (lado del servidor)
server_port La dirección del puerto de destino (lado del servidor)
msg_id Identificador del mensaje
sujeto El asunto del correo electrónico
sender La dirección del remitente
receptor La dirección del receptor
virus_blocker_clean La limpieza del archivo según Anti-Malware
nombre_bloque virus_bloque El nombre del malware según Anti-Malware

Una entrada de registro típica para una solicitud SMTP con virus es la siguiente:

timestamp=2020-05-25T16:29:14 session_id=104229438357679 policy=Profile1 client_address=192.168.0.3 client_port=54867 server_address=192.168.1.2 server_port=25 msg_id=104229438357614 subject=Subject Greetings sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=SMTP

Una entrada de registro típica para una solicitud SMTP sin virus es la siguiente:

timestamp=2020-05-25T16:29:05 session_id=104229438357678 policy=Profile1 client_address=192.168.0.3 client_port=40467 server_address=192.168.1.2 server_port=25 msg_id=104229438357613 subject=Subject Greeting sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=true virus_blocker_name=null event_type=SMTP

Eventos de sesión

Las entradas del registro de sesión capturan la actividad del usuario en una capa TCP. Complementan los eventos HTTP, FTP y SMTP proporcionando información sobre la marca de tiempo de terminación de sesión TCP.

Nombre de campo Descripción
timestamp La hora del evento, sin zona horaria
session_id El identificador de sesión
end_time Hora de finalización de la sesión, marca de tiempo sin zona horaria
policy La directiva de seguridad configurada
client_address La dirección IP de origen (lado del cliente)
client_port El puerto de origen (lado del cliente)
server_address La dirección IP de destino (lado del servidor)
server_port La dirección del puerto de destino (lado del servidor)
ssl_ruleid La regla coincidente en la regla SSL Inspector, nula si falta
ssl_status El estado/acción de la sesión SSL (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null si falta
ssl_details Detalle de texto adicional sobre la conexión SSL (SNI, IP), nulo si falta
event_type Dos valores posibles: New_session o session_closed

Una entrada de registro típica para un nuevo evento de sesión es la siguiente:

timestamp=2020-05-21T18:49:46 session_id=104201346751773 end_time=2020-05-21T18:49:46 policy=profile1 client_address=192.168.0.2 client_port=37496 server_address=13.227.223.124 server_port=443 ssl_ruleid=null ssl_status=null ssl_details=null event_type=new_session

Una entrada de registro típica para un evento de sesión cerrada es la siguiente:

timestamp=2020-05-15T14:03:59 session_id=104172750410023 end_time=2020-05-15T14:04:00 policy=aitwlos client_address=169.254.100.2 client_port=123 server_address=176.58.127.165 server_port=123 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_closed

Actualizaciones de sesión

Las entradas de registro de actualizaciones de sesión capturan la actividad del usuario en una capa TCP para sesiones de larga ejecución por minuto. Las actualizaciones de sesión ayudan a identificar entradas de registro existentes (HTTP, SMTP, FTP y eventos de sesión) que corresponden a sesiones aún abiertas. Los eventos correspondientes pueden ignorarse o tratarse como “tentativos”, ya que el cierre de la sesión puede actualizar ciertos atributos (es decir, la hora de finalización de la sesión).

Nombre de campo Descripción
timestamp La hora del evento, marca de tiempo sin zona horaria
session_id El identificador de sesión
start_time La hora de inicio de la sesión, marca de tiempo sin zona horaria
end_time Hora de finalización de la sesión, marca de tiempo sin zona horaria
policy La directiva de seguridad configurada
client_address La dirección IP de origen (lado del cliente)
client_port El puerto de origen (lado del cliente)
server_address La dirección IP de destino (lado del servidor)
server_port La dirección del puerto de destino (lado del servidor)
ssl_ruleid La regla coincidente en la regla SSL Inspector, nula si falta
ssl_status El estado/acción de la sesión SSL (INSPECTED,IGNORED,BLOCKED,UNTRUSTED,ABANDONED), null si falta
ssl_details Detalle de texto adicional sobre la conexión SSL (SNI, IP Address), nulo si falta
event_type El marcador para actualizar sesiones actualmente (session_update)

Una entrada de registro típica para un evento de actualización de sesión es la siguiente:

timestamp=2020-05-15T16:17:00 session_id=104173025813804 start_time=2020-05-15T16:15:53 end_time=2020-05-15T16:15:54 policy=testPolicy client_address=169.254.100.2 client_port=46249 server_address=169.254.100.1 server_port=53 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_update

Eventos IPS

Las entradas del registro IPS capturan el tráfico que desencadenó una firma IPS que pertenece a uno de los tipos de clase o categorías IPS seleccionados y desencadena una acción de regla no inhabilitada.

Nombre de campo Descripción
timestamp La hora del evento, marca de tiempo sin zona horaria
signature_id Este ID de la regla
grouping_id El ID de agrupación de la regla. El identificador de agrupación + identificador de firma especifica el identificador único de la regla.
classtype_id El ID numérico del tipo de clase
source_address La dirección IP de origen del paquete
source_port El puerto de origen del paquete (si corresponde)
destination_address La dirección IP de destino del paquete
destination_port El puerto de destino del paquete (si corresponde)
protocol El protocolo del paquete
blocked Si el paquete fue bloqueado (true) o eliminado (false)
category La agrupación específica de la aplicación para la firma
classtype La agrupación de firmas de amenaza generalizada (no relacionada con el identificador de agrupación)
message El “título” o la “descripción” de la firma
event_type El marcador para eventos IPS e IDS (IPS/IDS)

Una entrada de registro típica para un evento IPS es la siguiente:

timestamp=2020-05-15T14:04:50 signature_id=2002752 grouping_id=1 classtype_id=3 source_address=192.168.100.55 source_port=32838 destination_address=22.22.22.163 destination_port=80 protocol=6 blocked=false category=policy classtype=bad-unknown message="ET POLICY Reserved Internal IP Traffic" event_type=IPS/IDS

Registros de red