Sonicwallファイアウォールでブロック/ドロップされたポートのトラブルシューティング
特定のルール/ポリシーでパケットキャプチャ/監視を有効にする以外に、ブロックされたポート/サービスを(リアルタイムまたはレポートとして)表示するようにSonicwallを表示または設定する簡単な方法はありますか?
パケットキャプチャはやり過ぎだと思います。パケットの内容を表示したくない、Accepted/Forwardedパケットを表示したくない、src-ip、dst-ip、dst-proto、およびdst-portの詳細を含むいくつかの「Dropped」イベントを表示したいだけです。
私はこれをオンラインで検索し、デバイスのメニュー項目を調べ、Sonicwallアナライザーをチェックアウトしました。何もありません。成功した接続、検出された攻撃とブロックされた攻撃などのログとステータスがありますが、ブロックされたポートを示す単純なレポートだけではありません。
以前はJuniperファイアウォールを使用していましたが、ScreenOSフレーバーとJunOSフレーバーの両方で、ポリシー(グローバルブロックポリシーなど)へのログオンを有効にしてから、Webインターフェイスまたはコマンドラインを使用してブロックされているものを確認できました。
SonicWALLの ログイベントリファレンスガイド によると、UTMは最大32kまでしかログを記録せず、その後ログをフラッシュします。
ログの永続性
SonicOSは現在、ローリングログバッファに32Kを割り当てています。ログがいっぱいになると、定義された受信者に電子メールで送信してフラッシュするか、単にフラッシュすることができます。電子メールはロギングの永続性の単純なバージョンを提供しますが、GMSはより信頼性が高くスケーラブルな方法を提供します。管理者にプレーンテキストまたはHTMLのいずれかとしてログを配信するオプションを提供することにより、管理者はログに記録されたイベントを確認および再生する簡単な方法を利用できます。
したがって、ブロックされた/ドロップされたポートの問題をトラブルシューティングするのに十分なデータを収集したくない場合は、GMS /アナライザー(グラフィカルコンソールに多くの情報を表示します)またはサーバーでお気に入りのsyslogデーモンをセットアップする必要があります。
Syslogサーバーを有効にする手順は、GMS/Analyzerアプライアンスを追加する手順と同じです。 https://support.software.Dell.com/kb/sw10097
更新:
SonicWALLでそのレベルの詳細を取得するには、Syslogサーバーを配備する必要があります。ドロップ/ブロックされたパケットレポート以外に何も表示したくない場合は、必ず[ログ]> [カテゴリ]に移動し、[ネットワークアクセス]を除くすべてのフィールドのチェックを外してください。
Syslogサーバーでどのような種類の情報が見つかると予想されるかを知るには、次のフィルターを確認してください。
