- Bài viết này mô tả hành vi của Log Viewer trên thiết bị firewall Sophos với bộ lọc nhanh và sự khác nhau giữa chúng cùng với Packet Capture để hiển thị source IP. Bộ lọc nhanh: - Trong Log Viewer, người quản trị có thể lưu ý vào các dòng log xuất ra theo khung thời gian được hiển thị khi dùng Quick filter. Bên dưới đây mô tả hành động của bộ lọc nhanh. Tình huống: - Bộ lọc log trong Log Viewer sử dụng lọc nhanh cho dữ liệu trong 10 phút. - Trong ví dụ bên dưới, thời gian của dòng log đầu tiên là 23:34:18. Phía bên dưới các log đã được lọc, log cuối cùng có thời gian là 23:14:13, chúng nằm ngoài phạm vi của bộ lọc nhanh 10 phút ban đầu. - Đây là kết quả bình thường của Log Viewer. Để giảm thời gian phản hồi truy vấn, Log Viewer chỉ kiểm tra thời gian trong log sau khi truy xuất giới hạn bản ghi đã đặt (đó là 200 bản ghi). Ví dụ, nếu 10 phút gần nhất của bộ lọc chỉ chứa 100 bản ghi, Log Viewer sẽ hiển thị toàn bộ 200 bản ghi, có thể chứa dữ liệu nằm ngoài phạm vi của bộ lọc nhanh đã chọn. Lọc Log bằng cột: - Trên Sophos Firewall kể từ phiên bản v17.5 hỗ trợ khả năng chọn các ô thông tin để cho phép các quản trị viên để chọn các ô liên quan đến các thông tin cần thiết. - Trong ví dụ này, quản trị viên đã lọc và tạo ra một chế độ xem log có chứa các cột sau: Firewall rule Source IP Source Zone Destination IP Application Application filter Policy ID Application Category Application technology Web policy ID - Sophos Firewall phiên bản 17.5 sẽ cho phép admin nhảy từ một sự kiện log tùy chọn đến IPS rule, Firewall rule, hoặc Web filter policy có liên quan. Trong ví dụ, click vào fw_rule_id="2" sẽ chuyển hướng admin dến trang tùy chỉnh của firewall rule ID 2. - Trong ví dụ này, clickingweb_policy _id="12" sẽ chuyển hướng admin tới trang tùy chỉnh web policy có liên quan. Log viewer và Hành động Packet Capture với source IP: - Khi sử dụng một địa chỉ alias IP làm địa chỉ outbound, Log Viewer hiện IP address của cổng vật lý thay vì địa chỉ alias IP. Mặt khác, Packet Capture hiển thị alias IP. Bên dưới đây sẽ giải thích sự khác biệt trong hành vi này. - Firewall rule sử dụng một địa chỉ alias IP cho cổng WAN làm địa chỉ outbound dành cho lưu lượng LAN đi đến WAN. Một người dùng sau khi truy cập một website với một địa chỉ IP là 216.58.199.105. Bên dưới là cấu hình WAN interface và Firewall rule của thiết bị tường lửa Sophos. Lưu lượng đã được ghi Log: - Hiển thị đơn giản (Standard View) trong Log Viewer hiển thị địa chỉ IP giao diện vật lý trong cột Source IP vì nó lấy thông tin từ ô orig-src. - Tuy nhiên, gói tin proxy-generated mà dụng alias IP làm source được ghi log trong Log Viewer trong ô src_trans_ip. Để xem được, chọn xem chi tiết của Log Viewer hoặc di chuyển chuột trên một dòng log nào đó trong Standard view. Detailed view Standard view Packet Capture: - Bản log bắt gói tin hiển thị chi tiết trên một cấp độ từng gói tin một. Nó cố gắng mô phỏng việc ghi nhật ký các gói tin như được thực hiện bởi tcpdump. Hiển thị trong Packet Capture được tạo log khi có NAT source IP.
