Sophos Firewall

Discussions Log Datein

Sophos Firewall requires membership for participation - click to join

Thread Info

State Not Answered
Locked Locked
Replies 6 replies
Subscribers 27 subscribers
Views 14544 views
Users 0 members are here

Options

Suggested

This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Log Datein

Lucascoco over 8 years ago

Hallo,

wie kann ich z.B. die Firewall Log auswerten um zu schauen, ob eine bestimmte Verbindungen zugelassen wurde oder nicht.

Ich meine nicht die Verbindungen im Life log.

Wenn ich in der Suche suche, kann ich nur eine IP angeben, würde aber nach Quelle und Ziel suchen.

Danke

This thread was automatically locked due to age.

Parents

0 LuCar Toni over 8 years ago

Hallo,

die Logs sind zu finden: Protokolle & Berichte - Protokollansicht

Dort findet man Firewall.

Aufbau nach Source, Destination und Source Port, sowie Destionation Port ist dort vorhanden.

Gruß
Cancel
Vote Up 0 Vote Down

Cancel
0 Lucascoco over 8 years ago in reply to LuCar Toni

Ok das hatte ich auch schon gefunden, aber als Text Datei sehr unübersichtlich. Gibt es noch eine andere Möglichkeit ?
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 8 years ago in reply to Lucascoco

Hallo,

Ich empfehle immer die Shell.

Dort existieren Befehle wie:

less wiki.ubuntuusers.de/.../

(z)grep https://wiki.ubuntuusers.de/grep/

etc.

Das alles via Pipes (|) zu einem Befehl.

Gruß
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 8 years ago in reply to Lucascoco

Hallo,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

Like MBP, I prefer (z)grep at the command line, but you can, for example, search for the following on the 'Search' tab of 'View Logs':

srcip="10.11.12.13" dstip="74.75.76.77"

I might want to know how often which ports are being blocked this month and so would do (thanks to Alan Toews):

zgrep 'srcip="10.11.12.13" dstip="74.75.76.77"' /var/log/packetfilter/2017/08/* |grep -oP 'dstport=".*?"' |sort -n|uniq -c|sort -n

MfG - Bob (Bitte auf Deutsch weiterhin.)
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 BAlfson over 8 years ago in reply to Lucascoco

Hallo,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

Like MBP, I prefer (z)grep at the command line, but you can, for example, search for the following on the 'Search' tab of 'View Logs':

srcip="10.11.12.13" dstip="74.75.76.77"

I might want to know how often which ports are being blocked this month and so would do (thanks to Alan Toews):

zgrep 'srcip="10.11.12.13" dstip="74.75.76.77"' /var/log/packetfilter/2017/08/* |grep -oP 'dstport=".*?"' |sort -n|uniq -c|sort -n

MfG - Bob (Bitte auf Deutsch weiterhin.)
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Lucascoco over 8 years ago in reply to BAlfson

Thanks

ich habe mir jetzt einen IView Server aufgesetzt.

Ich habe mal eine Frage, muss der Server immer laufen, um die Daten durchgehend zu sammel, oder holt er diese auch nach, wenn er eingeschaltet wird?

Gruß
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 8 years ago in reply to Lucascoco

Hallo,

der Server muss immer laufen, da die Datenbank anhand von Syslog gefüllt wird.

Man kann zusätzlich die alten Logfiles importieren lassen. Neue Funktion vom iView mit V3 (log Digester).

Gruß
Cancel
Vote Up 0 Vote Down

Cancel