El menú de registros

En la sección de registros del dispositivo Panda GateDefender los registros pueden ser vistos exhaustivamente y los puede administrar.

El submenú situado en el lateral izquierdo de la pantalla contiene los siguientes elementos:

• En vivo - una vista rápida, en vivo de las últimas entradas a medida que son generadas
• Resumen - resúmenes diarios de todos los registros
• Sistema - registros del sistema (/var/log/messages) filtrados por fuente y fecha
• Servicio - registros del sistema de detección de intrusiones (IDS, por sus siglas en inglés), OpenVPN, y antivirus
• Firewall - registros de normas de iptables
• Proxy - registros desde HTTP, SMTP, y proxies de filtrado de contenido
• Configuración - personalizar todas las opciones de registro
• Trusted Timestamping - fija estampas de tiempo en los archivos de registros para verificar que no han sido alterados.

En resumen, existen dos modalidades para acceder al registro desde la GUI: en vivo y “por servicio”: En el modo en vivo, los archivos de registro se visualizan tan pronto han sido creados, mientras que en el modo “por servicio” solo se muestran registros producidos por un demonio o servicio.

En vivo

Al entrar en la sección Registros, o hacer clic en la entrada En vivo en el submenú, aparece el visor de registros en vivo, un recuadro que muestra la lista de todos los archivos de registro disponibles para ver en tiempo real. Se puede elegir la cantidad de registros a ver al seleccionar las casillas correspondientes, que aparecen en una nueva ventana al hacer clic en el botón Mostrar registros seleccionados. Para ver todos los archivos de registro a la vez, seleccione la casilla Seleccionar todos encima del botón Mostrar registros seleccionados y luego haga clic en ese botón. Para ver un solo archivo, haga clic en el enlace Mostrar solo este registro.

La ventana que se abre contiene dos recuadros, Configuración en la parte superior y Registros en vivo en la parte inferior.

Advertencia

La lista de entradas de registros puede volverse ilegible si se muestran muchos registros, dada la posible gran cantidad de entradas de registros producida (especialmente por el registro del firewall o proxy, que puede generar varias entradas de registro por segundo en caso de tráfico pesado). En estos casos, los registros que van a aparecer pueden ser configurados en el recuadro Configuración.

Configuración

Esta casilla permite modificar las configuraciones del visor de registro, incluyendo qué archivos de registro mostrar, su color y opciones para destacar o encontrar palabras clave específicas.

A la derecha del recuadro aparece la lista de registros que se muestran en ese momento y el color con el que se les resalta y a la izquierda se muestran algunos elementos de control adicionales que ayudan a limitar la salida:

Filtro

Solo se muestran las entradas de registro que contienen la expresión en este campo.

Filtro adicional

Igual que el filtro anterior, pero aplicado a la salida del primer filtro. En otras palabras, en el registro solo se muestran las entradas de registro que contienen ambas expresiones.

Pausar salida

Hacer clic en este botón evitará que aparezcan nuevas entradas de registro en el registro en vivo. No obstante, después de hacer clic una vez más, todas las nuevas entradas aparecerán de una vez, desplazando rápidamente las anteriores.

Destacar

Todas las entradas de registro que contienen esta expresión se resaltarán con el color elegido. La diferencia con la opción de filtro es que todavía se muestra todo el contenido y las entradas de registro que contienen la expresión estarán resaltadas con un fondo de color.

Color de realce

Hacer clic en el recuadro de color ofrece la posibilidad de seleccionar el color que se utilizará para resaltar.

Desplazamiento automático

Esta opción solo se encuentra disponible si la opción Ordenar por orden cronológico inverso en la sección Barra de menú ‣ Registros ‣ Configuración está apagada. Esto causa que todas las entradas nuevas aparezcan al pie de la página: Si se activa esta opción, la lista se desplaza hacia arriba para mostrar las últimas entradas al pie de la página, de lo contrario solo se muestran las entradas más antiguas y se debe utilizar la barra de desplazamiento a la derecha para ver las nuevas.

Para añadir o eliminar algún registro de la pantalla, haga clic en el enlace Mostrar más debajo de la lista de archivos de registro en la parte superior derecha. Los controles serán reemplazados por una tabla desde la cual los archivos de registro deseados se pueden seleccionar al marcar o desmarcar sus respectivas casillas. Para cambiar el color de un archivo de registro, haga clic en la paleta de colores de ese tipo de registro y después seleccione un color nuevo. Para ver los controles otra vez, haga clic en uno de los enlaces Cerrar debajo de la tabla o de la lista de los archivos de registro mostrados.

Registros en vivo

Los registros seleccionados para ver aparecen en este recuadro, que consiste en una tabla dividida en tres columnas.

Columna izquierda

Esta columna contiene el nombre del registro, es decir, el demonio o servicio que produce la entrada del registro.

Columna del medio

La estampa del tiempo (fecha y hora) del evento que se ha registrado.

Columna derecha

El mensaje real generado por el servicio o demonio y grabado en los archivos de registro.

Por último, también existe la posibilidad de aumentar o disminuir el tamaño de la ventana al hacer clic en los botones Aumentar altura o Disminuir altura, respectivamente, que están situados en el encabezado del recuadro.

Acciones comunes

Las entradas Sistema, Servicio, Firewall y Proxy del submenú muestran archivos de registro para diferentes servicios y demonios, agrupados por características similares. Hay varios controles disponibles para buscar dentro del registro, o ver solo algunas entradas del registro, muchas de las cuales son las mismas en todos los servicios y demonios, solo el elemento del menú Sistema y la pestaña informe de HTTP bajo Proxy tienen control adicional. Estas entradas del submenú también tienen una estructura común de sus páginas, organizadas en dos recuadros: Configuración en la parte superior y Registro en la parte inferior.

Filtro

Solo se muestran las líneas que contienen la expresión introducida.

Ir a la fecha

Muestra directamente las fechas de registro para esta fecha.

Ir a página

Muestra directamente las entradas de registro desde esta página en los resultados. La cantidad de entradas mostradas por página se puede modificar en la página Barra de menú‣ Registros ‣ Configuración.

Actualizar

Después de cambiar cualquiera de las configuraciones anteriores, hacer clic en este botón actualiza el contenido de la página. Esta página no se actualiza automáticamente.

Exportar

Al hacer clic en este botón las entradas de registro se exportan a un archivo de texto.

Firmar registro

Al hacer clic en este enlace, se firma el registro actual. Este botón solo está disponible si Trusted Timestamping está activado.

Anterior, Nuevo

Estos dos botones se encuentran en el recuadro Registro y aparecen cada vez que la cantidad de entradas es tan grande que se divide en dos o más partes. Permiten buscar entradas anteriores o más nuevas de los resultados de búsqueda al hacer clic en ellos.

Nota

Un mensaje en la parte superior de la página informa si no hay registros disponibles en una fecha determinada: Esto puede suceder si el demonio o servicio no se ejecutaron o si no produjeron ningún mensaje.

En el resto de esta sección, se presentan todos los servicios y sus configuraciones particulares.

Resumen

Esta página presenta resúmenes de los registros producidos por el dispositivo Panda GateDefender, separados por día y generados por el software de monitoreo logwatch. A diferencia de otras partes de la sección de registro, tiene sus propias configuraciones para controlar el nivel de detalles que se muestran. Los siguientes elementos de control están disponibles en el primer recuadro en la parte superior de la página.

Mes

Selecciona desde este menú desplegable el mes en el que se generaron los mensajes de registro.

Día

El segundo menú desplegable permite elegir el día en el que se generaron los mensajes de registro.

<<, >>

Explorar la historia, moverse de un día (o parte del mismo cuando se han generado demasiados mensajes) a otro. El contenido de la página se actualizará automáticamente.

Actualizar

Actualiza inmediatamente el contenido de la página cuando se ha cambiado la combinación mes/día.

Exportar

Al hacer clic en este botón, aparece una versión de texto del resumen y se puede guardar en el sistema de archivo local.

Debajo de la casilla Configuración, aparece una cantidad variable de casillas, según los servicios activos que tienen entradas de registro. El recuadro Espacio de disco debe estar visible, mostrando el espacio de disco disponible en la fecha seleccionada, mientras que pueden aparecer otros recuadros como Sufijo (cola de correo) y Firewall (aceptado y paquetes eliminados).

Observe que los resúmenes no están disponibles para el día actual, puesto que se crean cada noche a partir de los archivos de registro generados el día anterior.

Sistema

En esta sección aparece el visor de registro para los varios archivos de registro del sistema. El recuadro superior, Configuración, define los criterios para mostrar las entradas en el cuadro inferior. Junto a acciones comunes, hay un control adicional disponible:

Sección

El tipo de registro que debe aparecer, Todos o solo los relacionados con un servicio o demonio determinado. Entre otros, incluyen mensajes kernel, acceso SSH, NTP y demás.

Siguiendo la elección de la sección, haga clic en el botón Actualizar para actualizar los registros que aparecen en el recuadro Registro al pie de la página, en donde los botones Anterior y Nuevo permiten navegar por las páginas.

Servicio

En esta sección aparecen las entradas de registro para dos de los servicios más importantes proporcionados por el dispositivo Panda GateDefender: IDS y OpenVPN, cada uno en su propia pestaña. Solo se encuentran disponibles las acciones comunes.

Firewall

El visor de registros de firewall contiene los mensajes que registran las actividades del firewall. Solo se encuentran disponibles las acciones comunes.

Proxy

El visor de registros del proxy muestra los registros de los cuatro demonios que usan el proxy. Cada uno tiene su propia pestaña: squid (HTTP), dansguardian (Filtro de contenido), sarg (informe de HTTP), y smtpd (SMTP, correo electrónico proxy).

HTTP y filtro de contenido

Además de las acciones comunes, el visor de registro de squid y DansGuardian permite especificar estos valores:

IP fuente

Muestra solo las entradas de registro que contienen la dirección IP fuente seleccionada, elegida desde un menú desplegable.

Ignorar filtro

Una expresión común que filtra todas las entradas de registro que lo contienen.

Activar ignorar filtro

Marque esta casilla para desactivar temporalmente ignorar filtro.

Restaurar predeterminados

Hacer clic en este botón restaurará todos los parámetros de búsqueda predeterminados.

Informe HTTP

La pestaña informe HTTP solo tiene una opción: activar o no el generador de informes de análisis de proxy, al hacer clic en la casilla Activar y después en el botón Guardar. Una vez que el generador de informes está activado, hacer clic en los links Informe diario, Informe semanal, e Informe mensual para mostrar informes de HTTP detallados.

SMTP

Solo se encuentran disponibles las acciones comunes en la pestaña del demonio posfijo.

Configuración

Esta página contiene todos los elementos de configuración global de las funciones de registro del dispositivo Panda GateDefender, organizados en cuatro casillas: Opciones del visor de registros, Resúmenes de registro, Registro remoto y Registro del firewall.

Opciones del visor de registros

Número de líneas a mostrar

El valor de paginación, es decir, la cantidad de líneas que se muestran por página de registro.

Ordenar por orden cronológico inverso

Si esta casilla está seleccionada, entonces las entradas de registro más nuevas aparecerán primero.

Resúmenes de registro

Guardar resúmenes durante __ días

Cuánto tiempo deben estar almacenados los resúmenes de registro en el disco antes de ser eliminados.

Nivel de detalle

El nivel de detalle del resumen de registro: cuanto más alto sea el nivel, mayor cantidad de entradas de registro se guardan y muestran. El menú desplegable permite tres niveles de detalle: bajo, medio y alto.

Registro remoto

Activado (registro remoto)

Hacer clic en esta casilla permite activar el registro remoto. La siguiente opción permite introducir el nombre del host del servidor syslog.

Servidor syslog

Nombre del host del servidor remoto al que se enviarán los registros. El servidor debe soportar los últimos estándares de protocolo de syslog IETF.

Registro del firewall

Registrar paquetes con constelación MALA de flags TCP

Si esta opción está activada el firewall registrará paquetes con constelación mala de flags TCP (por ejemplo, todos los flags están establecidos).

Registrar conexiones NUEVAS sin flag SYN

Cuando esta opción está activada, todas las conexiones TCP nuevas sin el flag SYN serán registradas.

Registrar conexiones salientes aceptadas

Para registrar todas las conexiones salientes aceptadas se debe marcar esta casilla.

Registrar paquetes rechazados

El firewall registrará todos los paquetes rechazados si esta opción está activada.

Servidor de timestamps seguros

Trusted timestamping es un proceso por el que pasan los archivos de registro (en general cualquier documento) para rastrear y certificar su origen y cumplimiento con el original. En otras palabras, trusted timestamping permite certificar y verificar que un archivo de registro no ha sido modificado por nadie de ningún modo, ni siquiera por el autor original. En el caso de archivos de registro, el servidor de timestamps seguros es útil, por ejemplo, para verificar los accesos al sistema o las conexiones desde los usuarios de VPN, incluso en los casos de auditorías independientes.

Trusted timestamping no está activada de manera predeterminada, pero su activación solo requiere un clic en el interruptor gris. Cuando se pone verde, aparecen algunas opciones de configuración.

URL del servidor de Timestamp

La URL del servidor de marcas de tiempo (también denominado TSA) es obligatorio, dado que este servidor firmará los archivos de registro.

Nota

Se necesita una URL válida de un TSA válido para poder utilizar trusted timestamping. Varias empresas pueden proveer este tipo de servicio.

Autenticación de Http

Si el servidor de marcas de tiempo requiere autenticación, marque la casilla situada debajo de la etiqueta Autenticación de Http.

Nombre de usuario

El nombre de usuario utilizado para autenticar en el servidor de la timestamp.

Contraseña.

La contraseña utilizada para autenticar en el servidor de la timestamp.

Clave pública del servidor de timestamping

Para facilitar y hacer que la comunicación con el servidor sea más segura, se puede importar la clave pública del servidor. El archivo del certificado se puede buscar en el ordenador local al hacer clic en el botón Explorar..., y luego cargar al dispositivo Panda GateDefender al hacer clic en el botón Cargar. Tras guardar el certificado, junto a la etiqueta Clave pública del servidor de timestamping, aparecerá el link Descarga, sobre el que se puede hacer clic para recuperar el certificado por si, por ejemplo, debe instalarse en otro dispositivo Panda GateDefender.

Después de hacer clic en el botón Guardar, la configuración se guarda y, al día siguiente, aparecerá un botón nuevo en la sección Registros, a la derecha del recuadro Configuración:

Verificar firma de registro

Al hacer clic, muestra un mensaje en amarillo para informar el estado del registro.

Ver también

La documentación del servidor de timestamps OpenSSL oficial y RFC 3161, la definición original del protocolo de marca de tiempo.