Cet article fournit des FAQ sur la configuration et les fichiers de journal ENSLFW.
Comment puis-je effectuer le suivi des fichiers journaux ?
Vous pouvez effectuer un suivi distinct des fichiers journaux pour les activités basées sur l’interface de ligne de commande (CLI) et les activités basées sur un pare-feu aux emplacements suivants :
- CLI : /opt/McAfee/ens/fw/var/mfw.log ( 10.6.6 et versions ultérieures) ou /opt/McAfee/mfw/var/mfw.log ( 10.6.5 et versions antérieures)
- Pare-feu avec état : /opt/McAfee/ens/fw/var/mfefirewall.log ( 10.6.6 et versions ultérieures) ou /opt/McAfee/mfw/var/mfefirewall.log ( 10.6.5 et versions antérieures)
Comment activer la journalisation de débogage ?Utilisez cette commande pour activer la journalisation de débogage :
# /opt/McAfee/ens/fw/bin/mfefwcli --fw-log-level debug ( 10.6.6 et versions ultérieures) ou
# /opt/McAfee/mfw/bin/mfw --fw-log-level debug ( 10.6.5 et versions antérieures)
Voici un exemple d’entrée de journal de débogage de
mfefirewall.log :
Aug 23 11:58:40 ENSL-HOSTNAME DEBUG SFIptables [31933] Rule Name - , Rule Action - 1, Transport Protocol - 1024, Network Protocol - 1, Msg Type - 7, Rule Enable - 1, Log Enable - 1, matchCount - 2
Comment lire les journaux de règles de pare-feu ?Voici la syntaxe de l’entrée de journal :
MFE_I/O_A/B_firewall_rule_name . Indique le
I/O message entrant ou sortant. Indique l’autorisation ou le
A/B blocage. Le
firewall_rule_name fournit le nom de la règle de pare-feu.
Où puis-je trouver des journaux relatifs aux règles de pare-feu ?
Les journaux des règles de pare-feu sont accessibles à partir de trois emplacements :
- /var/log/messages
- /var/log/firewall (pour SUSE)
- /var/log/syslog (pour Ubuntu)
Comment puis-je répertorier les règles de pare-feu locales sur le client ENSLFW Linux ?Utilisez cette commande et affichez le préfixe du journal des règles dans la colonne préfixe du journal des règles :
# /opt/McAfee/ens/fw/bin/mfw --fw-rules-list ( 10.6.6 et versions ultérieures) ou
# /opt/McAfee/mfw/bin/mfw --fw-rules-list ( 10.6.5 et versions ultérieures)
Comment afficher la liste des règles de pare-feu ?Utilisez cette commande pour afficher les règles de pare-feu suivantes
# /opt/McAfee/ens/fw/bin/mfw --fw-rules-list --xml ( 10.6.6 et versions ultérieures) ou
# /opt/McAfee/mfw/bin/mfw --fw-rules-list --xml ( 10.6.5 et versions antérieures)
Comment consigner l’activité du pare-feu (pour le trafic réseau autorisé ou bloqué) dans les fichiers journaux locaux ?Dans les paramètres de configuration des règles de pare-feu, activez l’option
trafic de correspondance des journaux .
Remarque : Avec ENSLFW 10.7 , une nouvelle fonctionnalité a été ajoutée pour activer la journalisation de tous les trafics réseau autorisés et bloqués via la stratégie options de pare-feu. Pour plus d’informations, consultez le
notes de publication pare-feu 10.7.0 Endpoint Security for Linux .
Comment consigner tous les trafics bloqués ?
Par défaut, ENSLFW n’enregistre pas tous les trafics bloqués. Si aucune des règles ENSLFW ne correspond, tous les paquets sont rejetés. Par défaut, aucun journal n’est créé pour ce trafic rejeté. Pour consigner le trafic rejeté par défaut, vous devez créer une règle de suppression par défaut dans la stratégie de pare-feu, comme suit :
- Sélectionnez l’option Ajouter une règle dans les règles de pare-feu catalogue de stratégies pour ajouter une règle à la fin de la stratégie.
- Utilisez les paramètres suivants pour la règle :
- Nom : Default_Drop_Rule
- Etat : activé
- Action : Bloquer
- Activer "le trafic de concordance des journaux"
- Direction : dans
- Protocole : any
- Protocole de transport : tous les protocoles
- Désactiver la planification
- Cliquez sur Enregistrer.
- Déplacez cette règle à la fin de la stratégie.
- Mettez en œuvre la règle sur le système Linux en effectuant une réactivation du agent.
- Vérifiez les paramètres du journal avec les commande de l’interface de ligne de commande suivantes. Assurez-vous que l’option consigner tous les trafics bloqués est activée. (Ce paramètre est activé par défaut.)
/opt/McAfee/ens/fw/bin/mfefwcli –showlogsettings
Si le paramètre n’est pas activé, exécutez la commande suivante :
/opt/McAfee/ens/fw/bin/mfefwcli --log-blocked-traffic enable
Puis-je déclencher des événements ePolicy Orchestrator (ePO) pour les règles de pare-feu ENSFWL ?Oui. Pour la règle de pare-feu pour laquelle vous souhaitez déclencher des événements ePO, activez l’option
considérer les correspondances comme des intrusions .