[Check Point]Hướng dẫn cơ bản Logs và Reporting trên firewall CheckPoint

Thảo luận trong 'Firewall Khác' bắt đầu bởi bacit, 26/1/21.

  1. bacit

    bacit New Member

    Bài viết này sẽ hướng dẫn các bạn cơ bản về Logs và Reporting trên thiết bị firewall CheckPoint.

    1.User Interface :

    - Check Point đã thay đổi hoàn toàn giao diện giao diện quản trị trong phiên bản R80.

    [​IMG]

    - Đi đến Logs & Monitor và mở Tab mới,bạn sẽ nhìn thấy :

    [​IMG]

    - Có hai tùy chọn mặc định :
    • Audit Logs View – hiển thị tất cả các sự kiện liên quan đến hoạt động quản trị : admin logins và logouts events, configuration changes, policy và objects edits… , đây là công cụ theo dõi hoạt động quản trị theo thời gian.
    • Logs View – hiển thị security logs được tạo bởi các Software Blades khác nhau : Firewall, Anti-Virus, IPS,…
    - Để xem security logs, Double-click lên Logs để xem.

    - Trong cửa sổ log chúng ta có tất cả các security logs được gởi bởi các Software Blades khác nhau. Để đơn giản việc quản lý log, Check Point cho phép tìm kiếm qua các tùy chọn :
    • Free text search (Vd : “Microsoft”)
    • Lọc qua Software Blade, Nhập “blade:” vào trường tìm kiếm và sau đó chọn một cái bạn cần (firewall, IPS, antivirus ...)
    • Tìm kiếm bằng các trường được xác định : src, dst, action. VD: action : prevent
    • Bạn có thể sử dụng (AND, OR, NOT)
    - Bạn có thể kết hợp nhiều bộ lọc trong một lần tìm kiếm.

    [​IMG]

    - Có nhiều bộ lọc trong menu Queries bên tay trái.

    [​IMG]

    2.SmartEvent :

    - Để làm việc với Views & Reports, chúng ta cần enable SmartEvent Software Blade trên Security Management Server.

    - Chọn cả hai SmartEvent ServerSmartEvent Correlation Units, rồi chọn OK.

    [​IMG]

    - Sau đó install database lên Security Management Server.

    [​IMG]

    - Sau khi hoàn tất bạn sẽ nhìn thấy tùy chọn Views và Reports trong cửa sổ Logs & Reports.

    + Views : có nhiều chế độ xem mặc định có sẵn, khi chọn chế độ xem bạn có thể nhìn thấy preview của cái mà bạn chọn. Chế độ xem có thể được thay đổi hoặc tùy chỉnh chế độ xem của riêng mình, cũng như import và export chúng.

    [​IMG]

    + Reports : thông tin về security có thể được thu nhập và xử lý dưới dạng Reports. Có nhiều dạng báo cáo đã được tạo sẵn.

    [​IMG]

    - Nếu cần báo cáo có thể được lên lịch gửi qua email. Cũng như thay đổi, tùy chỉnh, import và export chúng.

    [​IMG]

    +Sử dụng SmartView qua trình duyệt :

    - Bạn có thể làm việc với Logs và Views thông qua trình duyệt mà không cần mở SmartConsole, để sử dụng mở SmartView theo đường dẫn URL https://192.168.1.100 (IP SMS)/smartview

    [​IMG]

    - Một khi login, bạn sẽ nhìn thấy giao diện tương tự SmartConsole.

    [​IMG]
    [​IMG]

    - SmartView qua trình duyệt cho phép người quản trị truy cập logs và security events mà không cần các công cụ quản trị khác, trong trường hợp như vậy bạn không cần SmartConsole trên thiết bị.

    !!! Cám ơn các bạn đã theo dõi bài viết !!!
     
    bacit, 26/1/21
    #1

trang này