网络安全的一个重要功能是收集来自您的安全系统的消息,并经常检查这些记录,同时将其归档以供将来参考。 WatchGuard 日志消息系统会创建包含安全性相关事件信息的日志文件,您可以查看这些日志文件以监视您的网络安全和活动,识别安全风险并设法解决这些安全风险。
日志文件 是一个列表,由事件以及有关这些事件的信息组成。 事件 是指发生在 Firebox 或 XTM 设备上的活动。 例如设备拒绝数据包就是一个事件。 Firebox 或 XTM 设备还可以捕获允许事件的信息,从而为您提供网络上活动的更完整描述。
WatchGuard 日志消息系统有若干组件,详细信息请参阅后续部分。
XTM 设备和 WatchGuard 服务器可以向 WatchGuard Log Server 发送日志消息。 XTM 设备还可以向系统日志服务器发送日志消息,或将日志保留在本地 XTM 设备上。 您可以选择向任一位置发送日志消息,也可以选择向这两个位置同时发送。
有两种方法可以通过 Fireware XTM Web UI 保存日志文件:
WatchGuard Log Server
这是 WatchGuard System Manager (WSM) 的一个组件。 如果您有具有 Fireware XTM 的 Firebox X Core、Firebox X Peak 或 Firebox X Edge e-Series 设备,或者有 WatchGuard XTM 2 系列、3 系列、5 系列、8 系列或 1050 设备,则可以配置主 Log Server 来收集设备的日志消息。
系统日志
这是一个为 UNIX 设计的日志接口,但也可用于许多其他计算机系统。 如果您使用系统日志主机,您可以将您的 XTM 设备设置为向您的系统日志服务器发送日志消息。 要查找与您的操作系统兼容的系统日志服务器,请在 Internet 上搜索“系统日志守护程序”。
如果将 Firebox 或 XTM 设备配置为向 WatchGuard Log Server 发送日志文件,一旦连接出现故障,将不会收集日志文件。 您可以配置设备,使其同时向本地可信任网络上的系统日志主机发送日志消息,以避免日志文件丢失。
有关发送日志消息到 WatchGuard Log Server 的详细信息,请参阅发送日志消息到 WatchGuard Log Server。
有关发送日志消息到系统日志主机的详细信息,请参阅发送日志信息到 系统日志主机。
Log Server 可从 XTM 设备或 WatchGuard 服务器中接收日志消息。 配置 XTM 设备以及 Log Server 之后,该设备将向 Log Server 发送日志消息。 可以在为 XTM 设备定义的各种 WSM 应用程序和策略中启用日志记录,以控制您查看的日志的级别。 如果选择从其他 WatchGuard 服务器向 Log Server 发送日志消息,则必须先在该服务器上启用日志记录。
Fireware XTM Web UI 系统日志页面显示实时日志消息信息,其中包括 XTM 设备上最新活动的数据。
有关详细信息,请参阅使用系统日志查看日志消息数据。