En esta publicación conoceremos sobre los diferentes archivos de Logs que se crean dentro de un firewall.
El FW identifica y controla el tráfico basado en aplicaciones y servicios, y registra los logs. Cada módulo de servicio genera y envía logs al sistema de registro. El sistema de registro almacena los logs de varios tipos en el disco duro según ciertas reglas si el disco duro está montado en el FW. Luego, puede ver y descargar los logs almacenados.
Según los registros, puede tomar las medidas adecuadas para monitorear el tráfico en tiempo real, conocer las vulnerabilidades en la red, los comportamientos anormales de los usuarios y los ataques a la red.
La siguiente tabla describe los tipos de registros clasificados según las funciones.
Tabla 1 Tipos de registro
Tipo de Logs | Significado | Función |
Traffic logs | Registros generados para todo el tráfico que llega o pasa por el FW | Al verificar los registros de tráfico, puede conocer las características del tráfico en la red, el uso del ancho de banda, las políticas de seguridad y la validez de la configuración de la política de tráfico. |
Threat logs | Registros generados para antivirus (AV), prevención de intrusiones, detección de zombis, caballos de Troya y gusanos, y defensa contra ataques | Al verificar los registros de amenazas, puede ver los registros de detección y defensa de amenazas de red como AV, prevención de intrusiones, DDoS, zombis, caballos de Troya, gusanos y APT, conocer los eventos de amenazas históricos y continuos y ajustar las políticas de seguridad o implementar una defensa activa en de manera oportuna. |
URL logs | Registros generados por filtrado de URL | Al verificar los registros de URL, puede ver las situaciones de acceso a URL, por ejemplo, el acceso a URL permitido, advertido o bloqueado, y conocer los motivos correspondientes. |
Content logs | Registros generados por bloqueo de archivos, filtrado de datos y control del comportamiento de la aplicación | Al verificar los registros de contenido, puede ver las alarmas y los eventos de bloqueo generados cuando un usuario transfiere un archivo o datos, envía o recibe un correo electrónico y accede a un sitio web, y conocer los comportamientos de riesgo de seguridad del usuario y los motivos de las alarmas y el bloqueo. |
Operation logs | Registros generados cuando realiza una operación en el dispositivo | Al verificar los registros de operaciones, puede ver registros de operaciones como inicio de sesión, cierre de sesión y configuración del dispositivo, conocer el historial de administración del dispositivo y mejorar la seguridad del dispositivo. |
User activity logs | Registros generados para varios tipos de actividades del usuario (incluido el inicio de sesión, desconexión, cambio de contraseñas y congelación o descongelación del usuario) | Al verificar los registros de actividades del usuario, puede conocer los registros en línea de un usuario, por ejemplo, el tiempo de inicio de sesión, la duración en línea o la duración de la congelación, y la dirección IP utilizada para iniciar sesión, conocer las actividades del usuario en la red actual, identificar el inicio de sesión de usuario anormal o el acceso a la red comportamientos y tomar las contramedidas correspondientes. |
Policy matching logs | Registros generados cuando el tráfico coincide con una política de seguridad | Al verificar los registros de coincidencia de políticas, puede conocer las políticas de coincidencia de tráfico y determinar si las políticas de seguridad están configuradas correctamente o logran los efectos esperados, para facilitar la localización de fallas. |
Mail filtering logs | Logs generated by mail filtering | Al verificar los registros de filtrado de correo, puede aprender los protocolos utilizados para enviar o recibir correo, la cantidad de archivos adjuntos incluidos en un correo y el tamaño del archivo adjunto, y las razones por las que normalmente se bloquean los correos, y tomar las contramedidas correspondientes. |
Audit logs | Registros generados por la función de | Al comprobar los registros de auditoría, puede conocer los comportamientos de FTP, los comportamientos de HTTP y los comportamientos de envío o recepción de correo, comportamientos de mensajería instantánea, búsqueda de palabras clave y validez de las políticas de auditoría. |
Sandbox Detection Log | Registros generados por la función de | Los registros de detección de la zona de pruebas proporcionan visibilidad de los registros de detección de la zona de pruebas (como el nombre y el tipo de los archivos detectados, la zona de origen y la zona de destino desde y hacia donde se enviaron los archivos detectados). Los detalles de detección de la zona de pruebas ayudan al administrador a identificar excepciones y responder a tiempo. |
Saludos.
FIN.
También te puede interesar:
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente