In questo articolo sono disponibili domande frequenti relative alla configurazione e ai file del registro ENSLFW.
Come si rintracciano i file di registro?
È possibile tenere traccia separatamente dei file di registro per le attività basate su CLI (Command Line Interface) e le attività basate su firewall nei seguenti percorsi:
- CLI: /opt/McAfee/ens/fw/var/mfw.log ( 10.6.6 e versioni successive) o /opt/McAfee/mfw/var/mfw.log ( 10.6.5 e versioni precedenti)
- Firewall stateful: /opt/McAfee/ens/fw/var/mfefirewall.log ( 10.6.6 e versioni successive) o /opt/McAfee/mfw/var/mfefirewall.log ( 10.6.5 e versioni precedenti)
Come si attiva la registrazione di debug?Utilizzare questo comando per attivare la registrazione di debug:
# /opt/McAfee/ens/fw/bin/mfefwcli --fw-log-level debug ( 10.6.6 e versioni successive) o
# /opt/McAfee/mfw/bin/mfw --fw-log-level debug ( 10.6.5 e versioni precedenti)
Di seguito viene riportata una voce di registro di debug di esempio da
mfefirewall.log :
Aug 23 11:58:40 ENSL-HOSTNAME DEBUG SFIptables [31933] Rule Name - , Rule Action - 1, Transport Protocol - 1024, Network Protocol - 1, Msg Type - 7, Rule Enable - 1, Log Enable - 1, matchCount - 2
Come si leggono I registri delle regole firewall?Di seguito è riportata la sintassi della voce di registro:
MFE_I/O_A/B_firewall_rule_name .
I/OIndica in ingresso o in uscita. Indica il consenso o il
A/B blocco.
firewall_rule_nameFornisce il nome della regola firewall.
Dove si trovano I registri relativi alle regole di firewall?
I registri per le regole di firewall sono accessibili da tre posizioni:
- /var/log/messages
- /var/log/firewall (per SUSE)
- /var/log/syslog (per Ubuntu)
In che modo è possibile elencare le regole di firewall locali sul client di ENSLFW Linux?Utilizzare questo comando e visualizzare il prefisso del registro delle regole nella colonna prefisso del registro delle regole:
# /opt/McAfee/ens/fw/bin/mfw --fw-rules-list ( 10.6.6 e versioni successive) o
# /opt/McAfee/mfw/bin/mfw --fw-rules-list ( 10.6.5 e versioni precedenti)
Come si elencano le regole di firewall?Utilizzare questo comando per visualizzare le regole di firewall:
# /opt/McAfee/ens/fw/bin/mfw --fw-rules-list --xml ( 10.6.6 e versioni successive) o
# /opt/McAfee/mfw/bin/mfw --fw-rules-list --xml ( 10.6.5 e versioni precedenti)
In che modo è possibile
registrare l'attività di firewall (per il traffico di rete consentito o bloccato) nei file di registro locali?Nelle impostazioni di configurazione della regola di firewall, attivare l'opzione del
traffico corrispondente al registro .
Nota: Con ENSLFW 10.7 , è stata aggiunta una nuova funzione per attivare la registrazione per tutto il traffico di rete consentito e bloccato tramite le opzioni del Firewall Policy. Per informazioni dettagliate, consultare il
Note sulla versione Endpoint Security for Linux firewall 10.7.0 .
Come si registra tutto il traffico bloccato?
Per impostazione predefinita, ENSLFW non registra tutto il traffico bloccato. Se nessuna delle regole ENSLFW corrispondono, tutti i pacchetti vengono eliminati. Per impostazione predefinita, non viene creato alcun registro per questo traffico eliminato. Per registrare il traffico abbandonato predefinito, è necessario creare una regola di rilascio predefinita nel firewall policy come indicato di seguito:
- Selezionare l'opzione Aggiungi regola nelle regole del firewall Catalogo delle policy per aggiungere una regola alla fine della policy.
- Utilizzare le impostazioni riportate di seguito per la regola:
- Nome: Default_Drop_Rule
- Stato: attiva
- Azione: Blocca
- Attiva traffico di corrispondenza "registro"
- Direzione: in
- Protocollo: qualsiasi
- Protocollo di trasporto: tutti i protocolli
- Disattiva pianificazione
- Fare clic su Salva.
- Portare questa regola alla fine della policy.
- Applicare la regola nel sistema Linux eseguendo un agent attivazione.
- Controllare le impostazioni del registro con il comando CLI riportato di seguito. Verificare che il traffico bloccato sia attivato. (Questa impostazione è attivata per impostazione predefinita)
/opt/McAfee/ens/fw/bin/mfefwcli –showlogsettings
.
Se l'impostazione non è attivata, eseguire il seguente comando:
/opt/McAfee/ens/fw/bin/mfefwcli --log-blocked-traffic enable
È possibile attivare gli eventi di ePolicy Orchestrat (ePO) per le regole di ENSFWL firewall?Sì. Per la regola firewall per cui si desidera attivare gli eventi ePO, attivare l'opzione
Gestisci corrispondenza come intrusione .