Protokollansicht

Zeigen Sie Ereignisinformationen für verschiedene Module und Filterprotokolle an. Führen Sie Aktionen für verknüpfte Regeln und Richtlinien durch.

Die Protokollansicht wird in einem neuen Vollbild-Browserfenster geöffnet und zeigt standardmäßig Firewallprotokolle an.

Sie können folgende Aktionen durchführen:

Passen Sie die Ansicht an, indem Sie verschiedene Module auswählen oder zwischen tabellarischer und detaillierter Ansicht wechseln. Sie können auch anonymisierte Informationen entschlüsseln.
Filtern Sie nach Modul, Feld, Wert, Zeit oder Freitext.
Ändern Sie Internetrichtlinien, Firewallregeln oder SSL/TLS-Regeln.

Weitere Informationen zu Protokollen und deren Werten finden Sie im Logfile Guide (Englisch).

Die Protokollansicht aktualisiert die Ansicht automatisch mit neuen Informationen, sobald diese eingehen.

So ändern Sie die Ansicht

Verwenden Sie die folgenden Steuerelemente, um die Anzeige der Protokollansicht zu ändern:


Steuerelement	Name des Steuerelements	Beschreibung
	Modulauswahl	Wählen Sie ein anderes Modul aus, um andere oder zusätzliche Protokolle anzuzeigen.
	Detailansicht	Sehen Sie eine detaillierte Ansicht jedes Protokolls. Sie können den Mauszeiger auch auf ein Modulsymbol bewegen, um Details anzuzeigen.
	Standardansicht	Protokolle im Tabellenformat anzeigen.
	Spalten hinzufügen/entfernen	Hinzufügen oder Entfernen von Spalten zur Liste.
	Pause	Halten Sie die automatische Aktualisierung der Protokolle an.
	Aktualisieren	Erzwingt eine Aktualisierung der Protokolle.
	Export	Exportieren Sie Protokolle im CSV-Format.
Open PCAP	Open PCAP	Paketdaten einsehen, wenn Paketerfassung eingeschaltet ist.
	Entanonymisieren	Zeigen Sie Identitäten an, wenn die Datenanonymisierung aktiviert ist. Sie müssen autorisiert sein und Ihre Authentifizierungsdaten angeben.
	In die Zwischenablage kopieren	Kopieren Sie die Informationen in die Zwischenablage.

So filtern Sie Protokolle

Verwenden Sie Filter, um Informationen aufzuschlüsseln.

Nach Modul filtern: Wählen Sie das gewünschte Module aus der Modul-Auswahlliste.
Nach Feld und Wert filtern: Klicken Sie auf Filter hinzufügen und wählen Sie ein Feld, eine Bedingung und einen Wert aus. Verfügbare Werte finden Sie im Logfile Guide (Englisch).
Sie können auch auf ein Feld klicken, um es als Filter hinzuzufügen.
Filtern nach Zeit: Wählen Sie einen Zeitrahmen aus dem Timer-Filter aus.
Freitextsuche: Verwenden Sie das Suchfeld oder klicken Sie auf ein Feld und wählen Sie Freitextsuche. Sie können beispielsweise Ports, IP-Adressen, Benutzernamen oder Regeln verwenden. Dies funktioniert auch mit anonymisierten Informationen.

Um alle Filter auf einmal zu löschen, klicken Sie auf Zurücksetzen.

So ändern Sie Richtlinien und Regeln

Die Protokollansicht bietet Aktionen und Links, je nach Modul und Protokoll. So können Sie Internetrichtlinien, NAT- und Firewallregeln sowie IPS-Richtlinien verwalten. Sie haben folgende Möglichkeiten:

Eine Website oder Webkategorie von der Entschlüsselung ausschließen: Wählen Sie SSL/TLS-Inspektion aus der Modul-Auswahlliste. Bewegen Sie die Maus dann rechts zu Verwalten und wählen Sie Ausschließen. Wählen Sie eine Option aus der folgenden Liste im Popup-Fenster aus und wählen Sie dann Ausschließen.
- Unterdomäne oder Domäne: Domänen und Unterdomänen werden der URL-Gruppe Lokale TLS-Ausschlussliste hinzugefügt.
- Webkategorie: Webkategorien werden der Regel Ausschlüsse nach Website oder Kategorie hinzugefügt.
- Andere Eigenschaften: Beispiel: Benutzername oder IP-Adresse. Wählen Sie die SSL/TLS-Modul Regel aus, um das Objekt anzugeben.
Die Option „Ausschließen“ wird für Datenverkehr mit den Fehler-IDs 19004 (zulässiger Datenverkehr) und 19005 (blockiert durch eine Internetrichtlinie) nicht angezeigt.

Um die Ausschlusslisten anzuzeigen, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln.
Eine Signatur für eineIPS-Richtlinie deaktivieren: Klicken Sie auf eine Signatur-ID und wählen Sie Signatur für diese IPS-Richtlinie deaktivieren.
Bearbeiten einer Regel: Wenn Sie auf eine Internetrichtlinie, eine NAT-Regel oder eine Firewallregel klicken, können Sie einem Link zurück zur Web-Admin-Oberfläche folgen, um diese spezifische Regel zu bearbeiten.

Anmerkung Firewallregeln: Sitzungen werden protokolliert, wenn eine Verbindung ein „Destroy“-Verbindungsereignis empfängt und daraufhin beendet wird. Verbindungen, die beendet werden, ohne dass ein "Destroy"-Ereignis von XG Firewall gesehen wird, z.B. während des Verlusts der Internetverbindung, werden nicht protokolliert.

SSL/TLS-Verbindungen: Protokolle werden nach Abschluss des Handshake oder nach dem Schließen der Verbindung aufgezeichnet.

Unterschiede zwischen der Standardansicht und der Detailansicht

Wenn Sie eine andere übersetzte Quelladresse als die MASQ-Adresse (standardmäßig maskiert) verwenden, wird in der Standardansicht der Firewallregeln die MASQ-Adresse als ausgehende Adresse angezeigt. Um die tatsächliche übersetzte Quelladresse zu sehen, siehe src_trans_ip in der Detailansicht.