Protokolleinstellungen

Die Appliance bietet eine umfangreich Protokollfunktion für Datenverkehr, System- und Netzwerkschutz. Detaillierte Protokollinformationen und Berichte liefern historische und aktuelle Analysen der Netzwerkaktivität, die bei der Ermittlung von Sicherheitsproblemen und Verringerung von Netzwerkmissbrauch helfen. Um die Protokolle anzeigen zu können, müssen die entsprechenden Module abonniert werden.
Die Appliance kann viele verschiedene Netzwerkaktivitäten und unterschiedlichen Datenverkehr protokollieren, unter anderem:
Firewallregel-Protokolle
Anti-Virus Infektionen und Blockierungen
Webfilterung, URL- und HTTP-Inhaltsblockierung
Verhinderung von Angriffen auf Signaturbasis und Anomalien
Spam-Filter
Administrator-Protokolle
Benutzerauthentifizierungsprotokolle
SSL-VPN-Protokolle
Protokoll der Web Server Protection
Advanced Threat Protection-Protokolle
Heartbeat-Protokolle
Die Appliance kann die Protokolle entweder lokal speichern oder an externe Syslog-Server zu Speicherung und Archivierung senden. Verkehrserkennungsprotokolle können nur lokal gespeichert werden.
Syslog ist ein Protokoll bzw. eine Methode auf Industriestandard zur Erfassung und Weiterleitung von Protokollen von einer Appliance an einen Server, auf dem ein Syslog-Daemon ausgeführt wird, in der Regel über den UDP-Port 514. Die Protokollierung auf einem zentralen Syslog-Server hilft bei der Zusammenführung von Protokollen und Alarmmeldungen.
Ist diese Funktion konfiguriert, sendet die Appliance zusätzlich zum Standard-Ereignisprotokoll ein detailliertes Protokoll an einen externen Syslog-Server. Zur Unterstützung von Syslog ist ein externer Server erforderlich, auf dem ein Syslog-Daemon an einem der UDP-Ports ausgeführt wird. Wenn Sie die Protokollierung auf einem Syslog-Server konfigurieren, müssen Sie die Facility, den Schweregrad und das Protokolldateiformat konfigurieren. Sie können außerdem einen Protokollspeicherort angeben, wenn mehrere Syslog-Server definiert sind.
Die Appliance protokolliert alle Aktivitäten und gibt die jeweilige Verbindungsquelle und IP-Adresse des Ziels (IPv4/IPv6), den IP-Dienst und die Anzahl der übertragenen Bytes an.
Ein Syslog-Dienst nimmt Meldungen an und speichert diese in Dateien oder Ausdrucken. Diese Art der Protokollierung ist optimal, da sie eine zentrale Protokollierungseinrichtung und einen geschützten Langzeitspeicher für Protokolle bietet. Dies ist sowohl bei routinemäßiger Fehlersuche und beim Umgang mit Vorfällen nützlich.
Auf dieser Seite können Sie folgende Einstellungen vornehmen:
Syslog-Server - Konfigurieren Sie Syslog-Server zur Speicherung und Archivierung von Protokollen.
Protokolleinstellungen - Konfigurieren Sie, welche Protokolle an den Syslog-Server versendet werden sollen.
Syslog-Server
Im Abschnitt Syslog-Server finden Sie eine Liste aller konfigurierten Syslog-Server. Sie können die Liste nach Servernamen filtern. Auf dieser Seite haben Sie auch die Möglichkeit, Server hinzuzufügen, zu aktualisieren oder zu löschen.
Protokolleinstellungen
Nachdem Sie den Syslog-Server konfiguriert haben, legen Sie fest, welche Protokolle an den Syslog-Server gesendet werden indem Sie unter Syslog das Kontrolllästchen für Protokolle aktivieren. Wenn mehrere Syslog-Server konfiguriert sind, können Sie verschiedene Protokolle an unterschiedliche Server senden.
Um Protokolle speichern zu können, müssen Sie das jeweilige Protokoll aktivieren und einen Speicherort für die Protokollierung angeben. Der Administrator kann zwischen der On-Device- (lokal) oder der Syslog-Protokollierung wählen. Der Administrator kann die Protokollierung außerdem vorübergehend deaktivieren. Im Folgenden finden Sie die verschiedenen Protokolltypen mit Beschreibung:
Firewall
Das Firewallprotokoll nimmt folgende Ereignisse auf:
Firewallregeln
Das Protokoll zeichnet den gesamten Datenverkehr der Firewall auf.
Ungültiger Datenverkehr
Das Protokoll zeichnet verworfenen Datenverkehr auf, der nicht den Protokollstandards entspricht, sowie ungültigen fragmentierten Datenverkehr und Datenverkehr, dessen Pakete oder Appliance sich mit keiner Verbindung verbinden kann.
Lokale ACLs
Der gesamte (zugelassene und verworfene) eingehende Datenverkehr wird protokolliert.
DoS-Angriff
Das DoS-Angriffsprotokoll protokolliert erkannte und von der Appliance verhinderte Angriffe, d. h. verworfene TCP-, UDP- und ICMP-Pakete.
Um Protokolle zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie jeweils auf Flag übernehmen bei SYN Flood, UDP Flood, TCP Flood und ICMP/ICMPv6 Flood.
Per ICMP umgeleitetes verworfenes Paket
Protokolliert alle verworfenen per ICMP umgeleitete Pakete.
Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei ICMP/ICMPv6-Paketumleitung deaktivieren.
Verworfenes quell-geroutetes Paket
Protokolliert alle verworfenen quell-gerouteten Pakete.
Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei Verworfene quell-geroutete Pakete.
Verworfener fragmentierter Verkehr
Protokolliert verworfenen fragmentierten Verkehr.
MAC-Filterung
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
IP-MAC-Paar-Filterung
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
IP-Täuschungsschutz
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
SSL-VPN-Tunnel
Protokolliert SSL-VPN-Datenverkehr.
Geschützter Anwendungsserver
Protokolliert Datenverkehr von geschützten Anwendungsservern.
Heartbeat
Protokolliert Heartbeat-Datenverkehr.
ICMP-Fehlermeldung
Protokolle von ICMP-Fehlermeldungen wie Netzwerk/Host/Port nicht erreichbar, Ziel-Netzwerk/Host unbekannt, etc.
IPS
Protokolliert auf Basis von unbekannten oder verdächtigen Mustern (Anomalie) und Signaturen erkannte und verworfene Angriffe.
Antivirus
Im HTTP, SMTP, FTP, POP3, IMAP4, HTTPS, SMTPS, IMAPS und POPS-Datenverkehr erkannter Virus.
Antispam
SMTP, POP3, IMAP4, SMTPS, POPS, IMAPS-Spam und wahrscheinliche Spam-E-Mails.
Inhaltsfilterung
Webfilter und Anwendungsfilterprotokolle
Protokolliert den Namen der Anwendungen/URLs, auf die zugegriffen wurde, sowie deren Kategorien.
* So können Sie die Protokolle anzeigen:
Richtlinien für Web- und Anwendungsfilter sollten in der Firewallregel aufgeführt werden.
Firewall-Verkehr protokollieren auf der Seite Firewall sollte aktiviert sein.
Ereignisse
Admin-Ereignisse: Protokolle von Konfigurationen, die über die Admin-Konsole durchgeführt wurden.
Authentifizierungsereignisse: Protokolliert alle Authentifizierungsereignisse.
Systemereignisse: Protokolliert alle Systemereignisse wie Gateway nach oben/unten, Antivirus-Aktualisierungen usw.
Webserver Protection
Webserver Protection-Ereignisse
* Webserver Protection-Protokolle sind nicht verfügbar für die Sophos Appliances CR10iNG, CR15i, CR15wi, CR15iNG, CR15wiNG, CR25ia, CR25wi, CR35ia und CR35wi.
Advanced Threat Protection
ATP-Ereignisse: Protokolliert verworfene Pakete und Alarmmeldungen.
WLAN
Access Points & SSID: Protokolle verbundener APs und SSID.
Heartbeat
Endpoint-Status: Protokolliert den Systemzustand des Endpoints.
Systemzustand
Nutzung: Protokolliert die CPU-Nutzung, Arbeitsspeichernutzung, Anzahl der Live-Benutzer sowie Informationen zur Schnittstelle und Festplattenpartition.
Die Appliance bietet eine umfangreich Protokollfunktion für Datenverkehr, System- und Netzwerkschutz. Detaillierte Protokollinformationen und Berichte liefern historische und aktuelle Analysen der... mehr erfahren »
Fenster schließen
Protokolleinstellungen
Die Appliance bietet eine umfangreich Protokollfunktion für Datenverkehr, System- und Netzwerkschutz. Detaillierte Protokollinformationen und Berichte liefern historische und aktuelle Analysen der Netzwerkaktivität, die bei der Ermittlung von Sicherheitsproblemen und Verringerung von Netzwerkmissbrauch helfen. Um die Protokolle anzeigen zu können, müssen die entsprechenden Module abonniert werden.
Die Appliance kann viele verschiedene Netzwerkaktivitäten und unterschiedlichen Datenverkehr protokollieren, unter anderem:
Firewallregel-Protokolle
Anti-Virus Infektionen und Blockierungen
Webfilterung, URL- und HTTP-Inhaltsblockierung
Verhinderung von Angriffen auf Signaturbasis und Anomalien
Spam-Filter
Administrator-Protokolle
Benutzerauthentifizierungsprotokolle
SSL-VPN-Protokolle
Protokoll der Web Server Protection
Advanced Threat Protection-Protokolle
Heartbeat-Protokolle
Die Appliance kann die Protokolle entweder lokal speichern oder an externe Syslog-Server zu Speicherung und Archivierung senden. Verkehrserkennungsprotokolle können nur lokal gespeichert werden.
Syslog ist ein Protokoll bzw. eine Methode auf Industriestandard zur Erfassung und Weiterleitung von Protokollen von einer Appliance an einen Server, auf dem ein Syslog-Daemon ausgeführt wird, in der Regel über den UDP-Port 514. Die Protokollierung auf einem zentralen Syslog-Server hilft bei der Zusammenführung von Protokollen und Alarmmeldungen.
Ist diese Funktion konfiguriert, sendet die Appliance zusätzlich zum Standard-Ereignisprotokoll ein detailliertes Protokoll an einen externen Syslog-Server. Zur Unterstützung von Syslog ist ein externer Server erforderlich, auf dem ein Syslog-Daemon an einem der UDP-Ports ausgeführt wird. Wenn Sie die Protokollierung auf einem Syslog-Server konfigurieren, müssen Sie die Facility, den Schweregrad und das Protokolldateiformat konfigurieren. Sie können außerdem einen Protokollspeicherort angeben, wenn mehrere Syslog-Server definiert sind.
Die Appliance protokolliert alle Aktivitäten und gibt die jeweilige Verbindungsquelle und IP-Adresse des Ziels (IPv4/IPv6), den IP-Dienst und die Anzahl der übertragenen Bytes an.
Ein Syslog-Dienst nimmt Meldungen an und speichert diese in Dateien oder Ausdrucken. Diese Art der Protokollierung ist optimal, da sie eine zentrale Protokollierungseinrichtung und einen geschützten Langzeitspeicher für Protokolle bietet. Dies ist sowohl bei routinemäßiger Fehlersuche und beim Umgang mit Vorfällen nützlich.
Auf dieser Seite können Sie folgende Einstellungen vornehmen:
Syslog-Server - Konfigurieren Sie Syslog-Server zur Speicherung und Archivierung von Protokollen.
Protokolleinstellungen - Konfigurieren Sie, welche Protokolle an den Syslog-Server versendet werden sollen.
Syslog-Server
Im Abschnitt Syslog-Server finden Sie eine Liste aller konfigurierten Syslog-Server. Sie können die Liste nach Servernamen filtern. Auf dieser Seite haben Sie auch die Möglichkeit, Server hinzuzufügen, zu aktualisieren oder zu löschen.
Protokolleinstellungen
Nachdem Sie den Syslog-Server konfiguriert haben, legen Sie fest, welche Protokolle an den Syslog-Server gesendet werden indem Sie unter Syslog das Kontrolllästchen für Protokolle aktivieren. Wenn mehrere Syslog-Server konfiguriert sind, können Sie verschiedene Protokolle an unterschiedliche Server senden.
Um Protokolle speichern zu können, müssen Sie das jeweilige Protokoll aktivieren und einen Speicherort für die Protokollierung angeben. Der Administrator kann zwischen der On-Device- (lokal) oder der Syslog-Protokollierung wählen. Der Administrator kann die Protokollierung außerdem vorübergehend deaktivieren. Im Folgenden finden Sie die verschiedenen Protokolltypen mit Beschreibung:
Firewall
Das Firewallprotokoll nimmt folgende Ereignisse auf:
Firewallregeln
Das Protokoll zeichnet den gesamten Datenverkehr der Firewall auf.
Ungültiger Datenverkehr
Das Protokoll zeichnet verworfenen Datenverkehr auf, der nicht den Protokollstandards entspricht, sowie ungültigen fragmentierten Datenverkehr und Datenverkehr, dessen Pakete oder Appliance sich mit keiner Verbindung verbinden kann.
Lokale ACLs
Der gesamte (zugelassene und verworfene) eingehende Datenverkehr wird protokolliert.
DoS-Angriff
Das DoS-Angriffsprotokoll protokolliert erkannte und von der Appliance verhinderte Angriffe, d. h. verworfene TCP-, UDP- und ICMP-Pakete.
Um Protokolle zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie jeweils auf Flag übernehmen bei SYN Flood, UDP Flood, TCP Flood und ICMP/ICMPv6 Flood.
Per ICMP umgeleitetes verworfenes Paket
Protokolliert alle verworfenen per ICMP umgeleitete Pakete.
Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei ICMP/ICMPv6-Paketumleitung deaktivieren.
Verworfenes quell-geroutetes Paket
Protokolliert alle verworfenen quell-gerouteten Pakete.
Um das Protokoll zu generieren, gehen Sie zu System > Systemdienste > DoS-& Täuschungsschutz und klicken Sie auf Flag übernehmen bei Verworfene quell-geroutete Pakete.
Verworfener fragmentierter Verkehr
Protokolliert verworfenen fragmentierten Verkehr.
MAC-Filterung
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
IP-MAC-Paar-Filterung
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
IP-Täuschungsschutz
Protokolliert verworfene Pakete, wenn die Filterung über den Täuschungsschutz aktiviert ist.
SSL-VPN-Tunnel
Protokolliert SSL-VPN-Datenverkehr.
Geschützter Anwendungsserver
Protokolliert Datenverkehr von geschützten Anwendungsservern.
Heartbeat
Protokolliert Heartbeat-Datenverkehr.
ICMP-Fehlermeldung
Protokolle von ICMP-Fehlermeldungen wie Netzwerk/Host/Port nicht erreichbar, Ziel-Netzwerk/Host unbekannt, etc.
IPS
Protokolliert auf Basis von unbekannten oder verdächtigen Mustern (Anomalie) und Signaturen erkannte und verworfene Angriffe.
Antivirus
Im HTTP, SMTP, FTP, POP3, IMAP4, HTTPS, SMTPS, IMAPS und POPS-Datenverkehr erkannter Virus.
Antispam
SMTP, POP3, IMAP4, SMTPS, POPS, IMAPS-Spam und wahrscheinliche Spam-E-Mails.
Inhaltsfilterung
Webfilter und Anwendungsfilterprotokolle
Protokolliert den Namen der Anwendungen/URLs, auf die zugegriffen wurde, sowie deren Kategorien.
* So können Sie die Protokolle anzeigen:
Richtlinien für Web- und Anwendungsfilter sollten in der Firewallregel aufgeführt werden.
Firewall-Verkehr protokollieren auf der Seite Firewall sollte aktiviert sein.
Ereignisse
Admin-Ereignisse: Protokolle von Konfigurationen, die über die Admin-Konsole durchgeführt wurden.
Authentifizierungsereignisse: Protokolliert alle Authentifizierungsereignisse.
Systemereignisse: Protokolliert alle Systemereignisse wie Gateway nach oben/unten, Antivirus-Aktualisierungen usw.
Webserver Protection
Webserver Protection-Ereignisse
* Webserver Protection-Protokolle sind nicht verfügbar für die Sophos Appliances CR10iNG, CR15i, CR15wi, CR15iNG, CR15wiNG, CR25ia, CR25wi, CR35ia und CR35wi.
Advanced Threat Protection
ATP-Ereignisse: Protokolliert verworfene Pakete und Alarmmeldungen.
WLAN
Access Points & SSID: Protokolle verbundener APs und SSID.
Heartbeat
Endpoint-Status: Protokolliert den Systemzustand des Endpoints.
Systemzustand
Nutzung: Protokolliert die CPU-Nutzung, Arbeitsspeichernutzung, Anzahl der Live-Benutzer sowie Informationen zur Schnittstelle und Festplattenpartition.