Configuring WatchGuard Firebox
防火墙分析仪同时支持WatchGuard的WELF和native日志格式。
适用于WatchGuard Firebox Models v 5.x, 6,x, 7.x, 8.x, 10.x, 11, Firebox X series, x550e, x10e, x1000, x750e, x1250e Core and Fireware XTM v11.3.5
病毒报表只支持WatchGuard v10.x
要分析native日志,配置方式是直接转发,您只需要将native日志从WatchGuard转发到防火墙分析仪的syslog监视端口
 |
默认情况下, WatchGuard
防火墙不包括字节信息。它只有包和包头的大小。所以您需要按照下面的步骤使字节信息可用,
- 对7.3版本,您需要到你的代理的"通用设置"区域并选择“发送日志消息及其每个事务的概要”复选框。
- 对7.2.1版本,您需要在代理服务中选择“日志统计/审计信息”复选框。
- 对于8.x版本,需要在代理服务中选中发送日志消息及其每个事务的概要复选框。
- 对于10.X版本,
- 对于基于外部和VPN接口的日志:
- 打开 策略管理器.
- 选择 设置 > 日志 > 性能统计 ,选中复选框,保存配置。
- 编辑代理动作,为每个要求的代理选择打开报表用日志,保存配置。
Firebox X1250e, XTM 11 系列的配置
发送日志信息到Syslog服务器
- 在WatchGuard设备的 Policy Manager 选择System > Logging.
打开日志页面
- 选择Syslog服务器页签。
- 选择启用Syslog输出到该服务器 复选框。
- 输入Syslog主机的IP地址(这里就是防火墙分析仪的IP地址)
- 在设置部分,选择日志消息的设施。
如果选择NONE, 则该消息类型的明细将不会被发送。
- 点击 保存。
更多信息,可参照:
http://www.watchguard.com/forum/default.asp?action=9&boardid=15&read=44135&fid=671
http://www.watchguard.com/help/docs/webui/11/en-US/index_Left.html#CSHID=en-US%2Flogging%2Fsend_logs_to_syslog_host_web.html|StartTopic=Content%2Fen-US%2Flogging%2Fsend_logs_to_syslog_host_web.html|SkinName=Web%20UI%20%28en-US%29
WatchGuard的字节信息:
请按照以下步骤,解决Watchguard设备的字节信息问题。
- 确保已创建策略,并配置好代理动作,然后执行以下步骤
- 动作 > 代理,根据需要添加新策略。
在日志中启用字节信息的步骤:
对于基于外部和VPN接口的日志:
选择 设置 > 日志 > 性能统计 ,选中复选框,保存配置。
对于代理级别的追踪: 编辑代理动作,为每个要求的代理选择打开报表用日志,保存配置。
更多信息可参照:
http://www.watchguard.com/forum/default.asp?action=9&boardid=2&read=19115&fid=43
或者访问WatchGuard网站/WatchGuard 论坛。 |
您也可以配置WatchGuard用 WebTrends Enhanced Log File (WELF) 格式导出日志,参考
WatchGuard文档,以便在WatchGuard防火墙中配置WELF格式。一旦将日志导出到WELF格式,登录到防火墙分析仪的界面并点击"设置页签"--> "导入日志文件" --> "导入日志文件"选项加载文件。
|
