Navigation

Menü „Protokolle und Berichte“

Auf dieser Seite finden Sie:

Im Protokollabschnitt der Panda GateDefender-Appliance können Protokolle umfangreich angezeigt und verwaltet werden.

Das Untermenü im linken Teil des Bildschirms enthält folgende Elemente:

  • Übersicht – das völlig neue Modul zur Berichterstattung
  • Live-Protokolle – Sofortansicht der neuesten Protokolleinträge
  • Zusammenfassung – tägliche Zusammenfassung sämtlicher Protokolle
  • System – Systemprotokolle (/var/log/messages), gefiltert nach Quelle und Datum
  • Dienst – Protokolle aus dem Intrusion Detection System (IDS), OpenVPN und Antivirus
  • Firewall – Protokolle von iptables-Regeln
  • Proxy – HTTP-/SMTP-Protokolle und Protokolle aus Proxys mit Inhaltsfilterung
  • Einstellungen – Anpassung aller Protokolloptionen
  • Gesicherte Zeitstempel – Protokolldateien mit einem Zeitstempel versehen, um Änderungen festzustellen

Es gibt zwei Möglichkeiten, um über die GUI auf Protokolle zuzugreifen: Live und „dienstabhängig“: Im Live-Modus werden die Protokolldateien direkt nach ihrer Erstellung angezeigt. Im dienstabhängigen Modus werden nur die Protokolle angezeigt, die von einem bestimmten Daemon oder Dienst erzeugt werden.

Übersicht

Die GUI zur Berichterstattung ist ein neues Modul, das mit Version 5.50 eingeführt wird, und dessen Zweck es ist, verschiedene Typen von Ereignissen im System grafisch darzustellen.

Kurz gesagt: Das Modul zur Berichterstattung zeigt Ereignisse auf der Panda GateDefender-Appliance mithilfe verschiedener Widgets und Diagramme an. Alle im System stattfindenden Ereignisse und die zugehörigen vom syslog-Daemon aufgezeichneten Informationen werden geparst und verwendet, um eine sqlite3-Datenbank aufzufüllen. Hier werden entsprechend den in der GUI angewendeten Optionen und Filtern Daten gesammelt und mithilfe der Widgets angezeigt.

Hinweis

Dieses Modul ist locker mit Ereignisbenachrichtigungen unter System ‣ Menüleiste ‣ Ereignisbenachrichtigungen verbunden. Alle dort aufgezeichneten Ereignisse und Ereignisse, für die E-Mail- oder SMS-Benachrichtigungen gesendet werden, sind ebenfalls hier ausgeführt. Umgekehrt gilt dies jedoch nicht.

Diese Seite ist in sechs Registerkarten unterteilt: Zusammenfassung, System, Web, Spam, Angriffe und Virus. Außer der ersten Registerkarte, die eine Zusammenfassung aller Ereignisse enthält, ist jede für einen bestimmten, auf der Panda GateDefender-Appliance ausgeführten Dienst vorgesehen.

Gemeinsame Elemente

Alle Registerkarten sind gleich aufgebaut: Unterhalb der Registerkarten befindet sich auf der linken Seite ein Element zur Datenauswahl und auf der rechten Seite die Schaltfläche Drucken. Außerdem sind ein Liniendiagramm mit einem horizontalen Schieberegler rechts unterhalb und oberhalb von informativen Feldern (Summary Grid) und ein Kreisdiagramm vorhanden. Am unteren Ende befinden sich eine oder mehrere Tabellen, abhängig von der angezeigten Registerkarte und den Daten. Die Tabelle, welche die mit den angezeigten Ereignissen verbundenen syslog-Nachrichten enthält, wird immer angezeigt.

Es folgt eine detaillierte Beschreibung der vorhandenen Widgets im Modul zur Berichterstattung.

Datum auswählen
Auf der linken Seite der Benutzeroberfläche befindet sich ein Hyperlink, der den Zeitraum anzeigt, in dem die für die Diagramme ausgewählten Ereignisse aufgetreten sind. Durch Klicken auf diesen Link können Sie in einem kleinen Bereich die Zeiträume ändern. Es gibt zwei Arten von Auswahlen: letzte ... Tage betrifft Ereignisse, die innerhalb des/der letzten Tage(s), Woche, Monats, Quartals oder Jahres stattgefunden haben. Im zweiten Fall werden alle Ereignisse ausgewählt, die in einem der letzten 12 Monate aufgetreten sind. Nach Auswahl eines neuen Zeitraums werden die anderen Widgets ebenfalls aktualisiert. Durch Klicken auf Abbrechen wird der angezeigte Zeitraum nicht geändert.
Drucken
Durch Klicken auf diese Schaltfläche wird eine Druckvorschau der aktuellen Seite angezeigt, in der die Schaltfläche Drucken durch Zurück ersetzt wird. Außerdem wird ein Pop-up-Fenster geöffnet, in dem der Drucker ausgewählt werden kann.

Liniendiagramm und Zeitschieberegler:

Das Liniendiagramm zeigt das Ereignis zweidimensional an, das während des ausgewählten Zeitraums in der Panda GateDefender-Appliance aufgetreten ist. Die x-Achse entspricht dabei dem Zeitraum, und die y-Achse zeigt die Anzahl der Vorkommnisse an. Eine farbige Linie verbindet Ereignisse desselben Typs.

Tipp

Unterschiedliche Ereignistypen sind verschiedenfarbig dargestellt.

Der Zeitschieberegler unterhalb des Diagramms ermöglicht es, innerhalb des ausgewählten Zeitraums eine feinere Ansicht der hier als Histogramme dargestellten Ereignisse anzuzeigen. Die beiden grauen Ziehpunkte auf der linken und rechten Seite des Schiebereglers können angeklickt und gezogen werden, um den im Liniendiagramm angezeigten Zeitraum zu verkleinern. Bei Verkleinerung kann der Schieberegler auch bewegt werden, indem auf die Mitte geklickt wird und diese nach links oder rechts gezogen wird.

Summary Grid

Das Summary Grid erfüllt zwei Zwecke: Es dient zum einen der Anzeige von Vorkommnissen der unterschiedlichen Ereignistypen, die auf der Panda GateDefender-Appliance im ausgewählten Zeitraum aufgetreten sind, und zum anderen der Filterung der Ereignistypen, die im Liniendiagramm angezeigt werden. Der Inhalt ändert sich entsprechend der Registerkarte, auf der es sich befindet, d. h. entsprechend den protokollierten Ereignistypen. Das Summary Grid ist nicht auf den Registerkarten E-Mail, Angriffe und Virus vorhanden, da es dort durch Tabellen mit Details zu den Ereignissen ersetzt wird.

Kreisdiagramm

Das Kreisdiagramm zeigt grafisch die Anzahl der Ereignisse an, die im ausgewählten Zeitraum aufgetreten sind. Auf der Registerkarte Zusammenfassung kann jedes Segment angeklickt werden, um die entsprechende Registerkarte zu öffnen und eine detailliertere Darstellung anzuzeigen.

Syslog-Tabelle

Eine Tabelle, welche die syslog-Nachrichten anzeigt, die aus den Protokolldateien extrahiert wurden und mit den in den Diagrammen angezeigten Ereignissen verbunden sind. Wenn die Tabelle viele Nachrichten enthält, werden diese auf mehrere Seiten aufgeteilt, die mithilfe der Schaltflächen und Zahlen am unteren linken Rand durchsucht werden können. Am unteren rechten Rand befindet sich ein Symbol, das den Tabelleninhalt aktualisiert.

Zusammenfassung

Die Registerkarte Zusammenfassung bietet eine Übersicht aller Ereigniskategorien, die in der Panda GateDefender-Appliance aufgezeichnet wurden. Das Summary Grid ermöglicht das Filtern nach folgenden Ereignistypen:

  • Einbruchsversuche: Vom IPS aufgezeichnete Ereignisse
  • E-Mail: Die Anzahl empfangener Spam-E-Mails
  • System: Die Anzahl der Anmeldungen und andere Ereignisse, die mit Systemverwaltungsaufgaben verbunden sind (Änderungen des Uplink-Status, Start und Stopp der Protokollierung usw.)
  • Viren: Die Anzahl gefundener Viren
  • Web: Die Anzahl der vom Inhaltsfilter blockierten Seiten

Jede Kategorie kann mit mehr Informationen und einer höheren Detailebene auf den anderen Registerkarten der Seite angezeigt werden. Siehe folgender Abschnitt.

System

Die Registerkarte System enthält alle Ereignisse, die mit der Systemeffizienz und der Systemverwaltung zusammenhängen. Die folgenden Ereignisse werden angezeigt:

  • Uplink: Die Zeiten, zu denen der/die Uplink/s online oder offline gegangen sind.
  • Anmeldung: Die Anzahl erfolgreicher und fehlgeschlagener Anmeldungen
  • Status: Die Änderungen im Status der Panda GateDefender-Appliance
  • Festplatte: Die Ereignisse zum Lesen und Schreiben auf der Festplatte
  • Support: Die Anzahl der vom Supportteam durchgeführten Zugriffe und Operationen
  • Upgrade: Ereignisse, die sich auf ein Upgrade des Systems oder von Paketen beziehen

Durch Klicken auf das kleine Symbol auf der linken Seite jeder Ereigniskategorie werden die anderen Kategorien ausgeblendet, während die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.

Web

Die Registerkarte Web zeigt die Anzahl der Seiten, die durch die URL-Filterengine geöffnet oder blockiert wurden. Das Summary Grid besteht aus zwei Registerkarten: Zugriffsbericht und Filterbericht.

Zugriffsbericht

Diese Registerkarte enthält die Domänen, auf die zugegriffen wurde. Sie sind in drei Tabellen gruppiert, welche die Quell-IP-Adresse, die Domäne und die Benutzer mit der jeweiligen Gesamtanzahl für jedes Element anzeigen.

Hinweis

Die Registerkarte Zugriffsbericht ist nicht in allen Appliances vorhanden.

Filterbericht

Diese Registerkarte zeigt, für welche Domänen der Zugriff blockiert wurde. Die erste Tabelle enthält die folgenden Kategorien, die im Webfilter verfügbar sind (siehe Menüleiste ‣ Proxy ‣ HTTP ‣ Webfilter).

  • Allgemeine Verwendung
  • Kindersicherung
  • Produktivität
  • Sicherheit
  • Nicht kategorisierte Websites

Wie auf der Registerkarte System führt das Klicken auf das kleine Symbol links von jeder Ereigniskategorie zum Ausblenden der anderen Kategorien, während die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.

Die anderen Tabellen am unteren Rand zeigen die Zähler für jedes der blockierten Objekte an: die Quell-IP-Adressen, die URLs und die Benutzer.

E-Mail

Die Registerkarte E-Mail zeigt alle als Spam blockierten E-Mails an.

Es gibt kein Summary Grid auf dieser Registerkarte. Stattdessen befinden sich dort drei Tabellen mit Zählern für:

  • Von: den/die Absender der Spam-E-Mails
  • An: der/die Empfänger der Spam-E-Mails
  • Quell-IP-Adresse: die IP-Adresse, von der aus die Spam-E-Mail versendet wurde.

Einbruchsversuche

Die Registerkarte Einbruchsversuche zeigt alle vom IPS erkannten versuchten Einbrüche (siehe Menüleiste ‣ Dienste ‣ Einbruchsversuche).

Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:

  • Einbruchsversuche: die Kategorie, in die der jeweilige Versuch fällt,
  • Quell-IP-Adresse: die IP-Adresse, von welcher der Angriff ausging,
  • die Ziel-IP-Adresse, die IP-Adresse, auf die ein Angriff gestartet wurde.

Viren

Die Registerkarte Viren zeigt alle von der Anti-Virus-Engine abgefangenen Viren (siehe Menüleiste ‣ Dienste ‣ Antivirus Engine).

Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:

  • Name des Virus: den Namen des gefundenen Virus,
  • Quell-IP-Adresse: die IP-Adresse, unter der sich der Virus ursprünglich befand,
  • die Ziel-IP-Adresse, die IP-Adresse, zu welcher der Virus geleitet wurde.

Verbindungen

Die Registerkarte Verbindungen zeigt die durchschnittliche Anzahl von Verbindungen, die von Benutzern auf der Panda GateDefender-Appliance gestartet wurden, gruppiert nach:

  • lokalen Verbindungen, Zugriffen über SSH oder die Konsole,
  • IPsec-Benutzern, Clients, die über IPsec verbunden sind,
  • Hotspot-Benutzer; Benutzern, die auf den Hotspot zugreifen,
  • OpenVPN-Benutzern und Clients, die über VPN verbunden sind.

Netzwerkmonitoring

Die ntopng-Software ist der Nachfolger des Analysators für den ntop-Netzwerkdatenverkehr. Sie bietet eine intuitivere Benutzeroberfläche und mehr grafische Darstellungen des Datenverkehrs in der Panda GateDefender-Appliance.

Die Verwaltungsoberfläche von ntopng bietet nun mehr Benutzerfreundlichkeit und einen leichteren Zugriff von jedem Browser aus, wodurch sie fester mit der Panda GateDefender-Appliance verbunden ist als in vorherigen Versionen.

Kurzgesagt bietet ntopng folgende Funktionen:

  • Echtzeitüberwachung jeder Netzwerkschnittstelle der Panda GateDefender-Appliance
  • Verwaltungsoberfläche mit Zugriff aus dem Internet
  • Ressourcensparender als ntop
  • Integration von nDPI (Anwendungsfirewall)
  • Datenverkehrsanalyse nach verschiedenen Parametern (Protokoll, Quelle/Ziel)
  • Export von Berichten in JSON-Format
  • Speicher für Statistiken zum Datenverkehr auf dem Laufwerk

Die GUI von ntopng ist in vier Registerkarten aufgeteilt: Übersicht, Datenströme, Hosts und Schnittstellen. Darüber hinaus gibt es ein Suchfeld zur schnellen Anzeige von Informationen zu einem gegebenen Host.

In der Fußzeile jeder Registerkarte werden einige Informationen angezeigt: Neben einem Urheberrechtshinweis und einem Link zur Homepage von ntop ist ein Diagramm vorhanden, das den Netzwerkverkehr der letzten 20 Sekunden in Echtzeit anzeigt, sowie einige numerische Daten zur momentan verbrauchten Bandbreite, der Anzahl der Hosts und Datenströme sowie der Betriebszeit der Panda GateDefender-Appliance.

Übersicht

Die Übersicht zeigt alle für die Panda GateDefender-Appliance relevanten Verbindungen an. Dies sind alle hergestellten Datenströme, in welche die Panda GateDefender-Appliance involviert ist.

Die Seite ist unterteilt in verschiedene Diagramme, wobei das erste ein so genanntes Sankey-Diagramm ist, das alle Datenströme anzeigt, die sich auf der Panda GateDefender-Appliance bewegen, und in Echtzeit aktualisiert wird. Die horizontalen Datenströme zeigen den Datenverkehr zwischen zwei Hosts, während die vertikale Breite jedes Datenstroms proportional zur durch diesen Datenstrom verbrauchten Bandbreite ist, d. h. der Menge an strömenden Daten. Die Verbindungen – und damit auch die Richtung der gesendeten Daten – werden von links nach rechts angezeigt: Hosts auf der linken Seite des Diagramms senden Daten an Hosts auf der rechten Seite, und werden entweder über die IP-Adresse oder den Hostnamen identifiziert. Durch Klicken auf einen Host wird die Seite Übersicht auf der Registerkarte Hosts geöffnet, die verschiedene Informationen über diesen Host anzeigt.

Unterhalb des Sankey-Diagramms befinden sich vier rein informative Kreisdiagramme, die den Prozentsatz der Elemente anzeigen, die den meisten Datenverkehr generieren. Sie sind unterteilt in: Gesamt nach Host (oben links), Anwendungsprotokolle (oben rechts), ASNs (unten links) und Live-Datenstromsender (unten rechts).

Datenströme

Die Registerkarte zu aktiven Datenströmen enthält eine große Tabelle mit verschiedenen Informationen über die aktiven Datenströme:

  • Info: Durch Klicken auf das Symbol wird eine neue Seite geöffnet, auf der detailliertere Informationen über diesen Datenstrom angezeigt werden.

  • Anwendung: Die den Datenstrom verursachende Anwendung. Zur Erkennung wird nDPI verwendet. Es kann daher notwendig sein, den Austausch einiger Pakete abzuwarten, damit die korrekte Anwendung angezeigt wird: In diesem Fall wird die Nachricht (Zu früh) anstelle des Namens der Anwendung angezeigt.

  • L4 Proto: Das vom Datenstrom verwendete Protokoll, das in der Regel TCP oder UDP ist.

  • Kunde: Der Hostname und Port, der vom Datenstrom auf der Client-Seite verwendet wird. Durch Klicken auf den Hostnamen oder den Port werden auf einer neuen Seite weitere Informationen über den Netzwerkverkehr auf dem Host oder Port angezeigt.

  • Server: Der Hostname und Port der vom Datenstrom auf der Serverseite verwendet wird. Wie beim Client werden weitere Informationen angezeigt, wenn Sie auf den Hostnamen oder Port klicken.

    Tipp

    Durch Klicken auf den Hostnamen oder den Port zeigt die Tabelle detaillierte Informationen und es wird eine Unterregisterkarte auf der Registerkarte Hosts geöffnet.

  • Dauer: Die Dauer der Verbindung.

  • Aufschlüsselung: Der prozentuale Wert des Datenverkehrs, der vom Client und Server generiert wird.

  • Durchsatz: Die Datenmenge, die momentan zwischen Client (links in schwarz) und Server (rechts in grün) ausgetauscht wird.

  • Gesamtanzahl Bytes: Die gesamte Datenmenge, die seit Verbindungsherstellung ausgetauscht wurde.

Am unteren Rand der Tabelle wird links die Gesamtanzahl der Zeilen angezeigt, während es auf der rechten Seite möglich ist, die verschiedenen Seiten zu durchsuchen, in welche die Tabelle unterteilt wird. Dies gilt, wenn die Anzahl der Zeilen größer als der Seitenumbruch ist.

Durch Klicken auf das Symbol Info werden detaillierte Informationen zu einem bestimmten Datenstrom angezeigt. Neben den bereits beschriebenen Daten werden außerdem folgende angezeigt.

  • Erste Sichtung: Der Zeitstempel zur Verbindungsherstellung zusammen mit der seit dem vergangenen Zeit
  • Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit
  • Client-zu-Server-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden
  • Server-zu-Client-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden
  • TCP-Flags: Die TCP-Zustände des aktuellen Datenstroms

Durch Klicken auf den Hyperlink Datenströme links oberhalb der Tabelle wird die erste Liste der Datenströme erneut aufgerufen.

Hosts

Die Registerkarte Hosts ermöglicht es, verschiedene Details über die involvierten Teilnehmer eines Datenstroms anzuzeigen: Host, Port, Anwendung, Datenströme und deren Dauer, Datenaustausch usw.

Es gibt zwei mögliche Darstellungen: Hostliste und Top-Hosts (lokal)

Die Darstellung Hostliste zeigt Informationen über alle Hosts, die in einem Datenstrom mit der Panda GateDefender-Appliance involviert sind, sowie die folgenden Daten darüber:

  • IP-Adresse: die IP- oder MAC-Adresse des Hosts. Letztere wird angezeigt, wenn der DHCP-Lease für diesen Host abgelaufen ist.
  • Standort: ob sich der Host im lokalen oder einem Remote-Netzwerk befindet.
  • Symbolischer Name: Falls verfügbar, ist dies der Name des Hosts.
  • Erste Sichtung: Der Zeitstempel der ersten Verbindungsherstellung
  • ASN:
  • Aufschlüsselung: Das Verhältnis zwischen ein- und ausgehendem Datenverkehr
  • Datenverkehr: Die vom Host ausgetauschte Datenmenge.

Durch Klicken auf die IP-Adresse öffnet sich eine Host-Übersicht, die neben den bereits erwähnten Informationen weitere Details zum Host anzeigt:

  • Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit
  • Aufschlüsselung für gesendeten und empfangenen Datenverkehr Der durch den Host generierte oder empfangene Datenverkehr
  • Gesendeter Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden
  • Empfangener Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden
  • JSON: Download-Informationen über den Host im JSON-Format.
  • Aktivitätszuordnung: Anzahl der gesichteten Datenströme, in die der Host zu einem gegebenen Zeitstempel involviert war. Jedes Quadrat zeigt eine Minute, wobei eine dunklere Farbe mehr Datenströmen in dieser Minute entspricht.

Von hier aus können außerdem weitere informative Registerkarten über diesen Host geöffnet werden. Jede Registerkarte enthält eines oder mehrere Kreisdiagramme (bis auf die Registerkarten Kontakte und Verlauf) über einem Zusammenfassungstext der angezeigten Daten.

  • Datenverkehr: Das vom Host verwendete Netzwerkprotokoll (im Allgemeinen TCP, UDP und ICMP).

  • Pakete: Die Länge in Paketen für jeden Datenstrom (Hinweis: Nur meine Vermutung).

  • Protokolle: Das vom Host verwendete Anwendungsprotokoll

  • Datenströme: Die Tabelle mit allen Netzwerkströmen der Hosts

  • Sender: Das Sankey-Diagramm der Verbindungen. Dieses ist dem in der Übersicht sehr ähnlich, wobei dieses nur die aktivsten Datenströme anzeigt.

  • Kontakte: Diese Registerkarte unterscheidet sich leicht von den anderen. Am oberen Rand wird eine Interaktionsübersicht und am unteren Rand eine Liste der Verbindungen angezeigt, die den Host als Client oder Empfänger haben.

  • Verlauf: Ein interaktives Diagramm zeigt den Verlauf des

    Datenverkehrs vom und zum Host innerhalb eines gegebenen Zeitraums (bis zu einem Jahr), der oberhalb des Diagramms ausgewählt werden kann.

Die Darstellung Top-Hosts (lokal) zeigt eine Echtzeitgrafik der Hosts, die aktive Verbindungen zum Host besitzen. Es werden die letzten 30 Minuten angezeigt.

Schnittstellen

Die Registerkarte Schnittstellen ermöglicht es, aus den aktiven Netzwerkschnittstellen diejenige auszuwählen, deren Datenverkehr überwacht werden soll.

Hinweis

Es ist momentan nicht möglich, Datenströme und/oder Hosts von verschiedenen Schnittstellen auszuwählen.

Live

Beim Aufrufen des Abschnitts Protokolle oder durch Klicken auf den Eintrag Live im Untermenü wird die Live Protokollanzeige angezeigt. Dort werden sämtliche Protokolldateien aufgelistet, die für die Echtzeitansicht zur Verfügung stehen. Sie können beliebig viele Protokolle durch Aktivieren der entsprechenden Kontrollkästchen zur Ansicht auswählen. Die Protokolle werden nach Betätigen der Schaltfläche Ausgewählte Protokolle anzeigen in einem neuen Fenster angezeigt. Um alle Protokolle gleichzeitig anzuzeigen, aktivieren Sie das Kontrollkästchen Alle auswählen direkt über der Schaltfläche Ausgewählte Protokolle anzeigen, und klicken Sie anschließend auf die letztgenannte Schaltfläche. Wenn Sie nur eine einzige Protokolldatei anzeigen möchten, klicken Sie einfach auf den Link Nur dieses Protokoll anzeigen.

Das nun angezeigte Fenster enthält zwei Felder – oben das Feld Einstellungen, unten das Feld Live Protokolle.

Warnung

Bei einer sehr hohen Zahl an Protokolleinträgen kann die Protokollliste bei gleichzeitiger Anzeige mehrerer Protokolle äußerst unübersichtlich werden (insbesondere bei der Firewall- oder Proxy-Protokollierung, bei der mehrere Protokolleinträge pro Sekunde erzeugt werden können). In solchen Fällen können Sie die Protokolle, die Sie anzeigen möchten, im Feld Einstellungen konfigurieren.

Einstellungen

In diesem Feld können Sie die Einstellungen der Protokollanzeige ändern. Sie können festlegen, welche Protokolldateien angezeigt werden sollen sowie Farbgebung und Hervorhebungsoptionen ändern. Außerdem können Sie nach bestimmten Schlüsselwörtern suchen.

Rechts im Feld werden die Liste der derzeit dargestellten Protokolle sowie die jeweilige farbliche Markierung angezeigt. Links im Feld werden einige zusätzliche Steuerelemente angezeigt, mit denen Sie die Ausgabe einschränken können:

Filter
Es werden nur die Protokolleinträge angezeigt, die den festgelegten Ausdruck enthalten.
Zusätzliche Filter
Funktion siehe oben; allerdings wird dieser Filter auf die Ausgabe des ersten Filters angewandt. Anders ausgedrückt: Es werden nur Protokolleinträge angezeigt, die beide Ausdrücke enthalten.
Ausgabe aussetzen
Durch Betätigen dieser Schaltfläche werden neue Protokolleinträge nicht im Live-Protokoll angezeigt. Nach erneutem Betätigen der Schaltfläche werden alle neuen Einträge gleichzeitig angezeigt. Die älteren Einträge werden dabei schnell durchlaufen.
Hervorhebung
Sämtliche Protokolleinträge, die diesen Ausdruck enthalten, werden durch einen ausgewählten Farbton hervorgehoben. Der Unterschied zur Filteroption besteht darin, dass auch weiterhin sämtliche Inhalte angezeigt werden und die Protokolleinträge, die den betreffenden Ausdruck enthalten, zusätzlich farblich hervorgehoben werden.
Farbe für Hervorhebungen
Durch Klicken auf das farbige Quadrat kann der zur Hervorhebung zu verwendende Farbton ausgewählt werden.
Automatisch scrollen
Diese Option steht nur zur Verfügung, wenn die Option In umgekehrter chronologischer Reihenfolge sortieren im Abschnitt Menüleiste ‣ Protokolle ‣ Einstellungen deaktiviert ist. Dadurch werden alle neuen Einträge unten auf der Seite angezeigt: Wenn diese Option aktiviert ist, wird die Liste nach oben gescrollt, um die neuesten Einträge am Ende der Seite anzuzeigen. Anderenfalls werden nur die älteren Einträge angezeigt, und die Bildlaufleiste auf der rechten Seite muss zur Ansicht der neuen Protokolleinträge verwendet werden.

Um Protokolle zur Ansicht hinzuzufügen oder von der Ansicht zu entfernen, klicken Sie auf den Link Mehr anzeigen direkt unter der Liste mit den Protokolldateien (rechts oben). Die Steuerelemente werden durch eine Tabelle ersetzt, in der Sie die gewünschten Protokolldateien durch Aktivieren bzw. Deaktivieren der entsprechenden Kontrollkästchen auswählen können. Um die Farbe einer Protokolldatei zu ändern, klicken Sie für den entsprechenden Protokolltypen auf Farbpalette und wählen Sie die gewünschte Farbe aus. Um die Steuerelemente wieder anzuzeigen, klicken Sie auf einen der Links Schließen unter der Tabelle bzw. unter der Liste der angezeigten Protokolldateien.

Live-Protokolle

Die zur Ansicht ausgewählten Protokolle werden in diesem Feld angezeigt, das eine Tabelle mit drei Spalten enthält.

Linke Spalte
Diese Spalte enthält den Protokollnamen, d. h. den Namen des Daemons bzw. Dienstes, der den Protokolleintrag erzeugt.
Mittlere Spalte
Der Zeitstempel (Datum und Uhrzeit) des aufgezeichneten Ereignisses.
Rechte Spalte

Die vom Dienst bzw. Daemon erstellte und in den Protokolldateien erfasste Meldung.

Hinweis

Einige Protokollnachrichten – besonders Firewall-Einträge – umfassen mehr als eine Zeile, was durch die Schaltfläche expand rechts neben der Nachricht angezeigt wird. Klicken Sie auf diese Schaltfläche, um die gesamte Nachricht anzuzeigen.

Schließlich können Sie auch das Fenster vergrößern bzw. verkleinern, indem Sie auf die Schaltflächen Fensterhöhe vergrößern bzw. Fensterhöhe reduzieren klicken, die sich in der Feldüberschrift befinden.

Gemeinsame Aktionen

In den Untermenüeinträgen System, Dienst, Firewall und Proxy werden Protokolldateien verschiedener Dienste und Daemons angezeigt, die nach ähnlichen Merkmalen gruppiert sind. Es stehen verschiedene Steuerelemente zur Verfügung, mit denen Protokolle durchsucht bzw. einzelne Protokolleinträge angezeigt werden können. Viele Steuerelemente sind für alle Dienste und Daemons identisch. Nur beim Menüelement System und der Registerkarte HTTP Report unter Proxy stehen zusätzliche Steuerelemente zur Verfügung. Die Seiten der Untermenüeinträge sind in gleicher Art und Weise in zwei Felder gegliedert: oben das Feld Einstellungen, unten das Feld Protokoll.

Filter
Es werden nur die Zeilen angezeigt, die den festgelegten Ausdruck enthalten.
Gehe zu Datum
Protokolleinträge ab dem angegebenen Datum werden angezeigt.
Gehe zur Seite
Protokolleinträge von dieser Seite werden direkt in der Ergebnismenge angezeigt. Die Anzahl der angezeigten Einträge pro Seite kann auf der Seite Menüleiste ‣ Protokolle ‣ Einstellungen geändert werden.
Aktualisieren
Nach dem Vornehmen der oben genannten Einstellungen können Sie durch Betätigen dieser Schaltfläche den Seiteninhalt aktualisieren. Die Seite wird nicht automatisch aktualisiert.
Exportieren
Durch Betätigen dieser Schaltfläche werden die Protokolleinträge in eine Textdatei exportiert.
Protokoll signieren
Durch Betätigen dieses Links wird das aktuelle Protokoll signiert. Die Schaltfläche ist nur verfügbar, wenn Gesicherter Zeitstempel aktiviert ist.
Älter, Neuer
Diese beiden Schaltflächen finden Sie im Feld Protokoll. Sie werden angezeigt, wenn die Anzahl der Einträge stark ansteigt. In diesem Fall werden die Einträge in zwei oder mehrere Teile gegliedert. Mithilfe dieser Schaltflächen können Sie ältere oder neuere Einträge aus den Suchergebnissen anzeigen.

Hinweis

Eine Meldung oben auf der Seite informiert Sie, wenn für ein bestimmtes Datum keine Protokolle verfügbar sind. Dies kann vorkommen, wenn der Daemon bzw. Dienst nicht aktiv war oder keine Nachricht erzeugt hat.

Im nachfolgenden Teil dieses Abschnitts werden sämtliche Dienste und die dazugehörigen Einstellungen beschrieben.

Zusammenfassung

Diese Seite enthält Zusammenfassungen für die Protokolle, die von der Panda GateDefender-Appliance erstellt werden, getrennt nach Tagen und generiert von der Protokollüberwachungssoftware logwatch. Im Gegensatz zu den anderen Teilen des Protokollbereichs stehen hier Einstellungen zur Verfügung, mit denen Sie die Ausführlichkeit der Informationen bestimmen können. Folgende Steuerelemente sind im ersten Feld am Seitenanfang verfügbar:

Monat
Wählen Sie aus diesem Dropdown-Menü den Monat aus, in dem die Protokollmeldungen erstellt wurden.
Tag
Im zweiten Dropdown-Menü können Sie den Tag auswählen, an dem die Protokollmeldungen erstellt wurden.
<<, >>
Durchsuchen Sie den Protokollverlauf, indem Sie mithilfe der Schaltflächen die einzelnen Tage auswählen (oder abschnittsweise, wenn zu viele Meldungen am selben Tag erstellt wurden). Der Seiteninhalt wird automatisch aktualisiert.
Aktualisieren
Sofortige Aktualisierung des Seiteninhalts bei Änderung der Angaben zum Monat/Tag.
Exportieren
Durch Betätigen dieser Schaltfläche wird die Zusammenfassung in Textform angezeigt und kann auf dem lokalen Dateisystem gespeichert werden.

Unterhalb des Feldes Einstellungen wird – abhängig von den ausgeführten Diensten, für die Protokolleinträge verfügbar sind – eine variable Anzahl von Feldern angezeigt. Hierbei sollte das Feld Speicherplatz möglichst sichtbar sein, da es den verfügbaren Speicherplatz zum gewählten Zeitpunkt anzeigt. Weitere Felder, die zusätzlich angezeigt werden können, sind Postfix (E-Mail-Warteschlange) und Firewall (akzeptierte und abgelehnte Pakete).

Beachten Sie, dass keine Zusammenfassungen für den aktuellen Tag verfügbar sind. Diese werden über Nacht aus den am Tag zuvor erzeugten Protokolldateien erstellt.

System

In diesem Abschnitt wird die Protokollanzeige für die verschiedenen Systemprotokolldateien angezeigt. Im oberen Feld Einstellungen werden die Kriterien für die Ansicht der Einträge im unteren Feld festgelegt. Neben den gemeinsamen Aktionen steht ein zusätzliches Steuerelement zur Verfügung:

Abschnitt
Die Protokolltypen, die angezeigt werden sollten – entweder Alle oder nur diejenigen, die sich auf einen bestimmten Dienst oder Daemon beziehen. Unter anderem sind dies Kernelmeldungen, Zugriffe über SSH, NTP usw.

Klicken Sie dem Beispiel in diesem Abschnitt entsprechend auf die Schaltfläche Aktualisieren, um die im Feld Protokoll angezeigten Protokolle am Ende der Seite zu aktualisieren. Im genannten Feld können Sie mithilfe der Schaltflächen Ältere und Neuere die Seiten durchsuchen.

Dienst

In diesem Abschnitt werden die Protokolleinträge der zwei wichtigsten Dienste angezeigt, die von der Panda GateDefender-Appliance bereitgestellt werden: IDS, OpenVPN und Panda Anti-Virus. Diese Dienste verfügen jeweils über eine eigene Registerkarte. Nur die gemeinsamen Aktionen sind verfügbar.

Firewall

Die Protokollanzeige der Firewall enthält die Meldungen über die Aktivitäten der Firewall. Nur die gemeinsamen Aktionen sind verfügbar.

Folgende Informationen werden in der Tabelle angezeigt:

Zeit
Der Zeitstempel zur Erstellung der Nachricht
Chain:
Die Chain, über die das Paket geleitet wurde
Iface:
Die Schnittstelle, über die das Paket geleitet wurde
Proto:
Der Prototyp des Pakets
Quelle, Quellport:
Die IP-Adresse und der Port, von der/dem das Paket gekommen ist
MAC Adresse
Die MAC-Adresse der Quellschnittstelle
Ziel, Zielport:
Die IP-Adresse und der Port, zu der/dem das Paket geleitet wurde.

Proxy

In der Protokollanzeige des Proxy werden die Protokolle für die vier Daemons angezeigt, die den Proxy verwenden. Jeder Daemon hat eine eigene Registerkarte: Squid (HTTP), DansGuardian (Inhaltsfilter), SARG (HTTP Report) und SMTPD (SMTP, E-Mail-Proxy).

HTTP- und Inhaltsfilter

Zusätzlich zu den gemeinsamen Aktionen können bei der Protokollanzeige für den HTTP-Proxy und den Inhaltsfilter folgende Werte angegeben werden:

Quell-IP-Adresse
Zeigt nur die Protokolleinträge mit der gewünschten Quell-IP-Adresse an, die aus einem Dropdown-Menü ausgewählt wird.
Ignorieren-Filter
Ein regulärer Ausdruck, mit dem sämtliche Protokolleinträge herausgefiltert werden, die den betreffenden Ausdruck enthalten.
Ignorieren-Filter aktivieren
Aktivieren Sie dieses Kontrollkästchen, um den Ignorieren-Filter vorübergehend zu deaktivieren.
Standardwerte wiederherstellen
Durch Betätigen dieser Schaltfläche werden die standardmäßig eingestellten Suchparameter wiederhergestellt.

HTTP-Bericht

Die Registerkarte HTTP-Bericht bietet lediglich eine Option: Sie können den Proxyanalysengenerator aktivieren bzw. deaktivieren, indem Sie das Kontrollkäschen Aktivieren aktivieren und anschließend auf die Schaltfläche Speichern klicken. Nach Aktivieren des Analysengenerators werden durch Klicken auf die Links Täglicher Bericht, Wöchentlicher Bericht und Monatlicher Bericht detaillierte HTTP-Berichte angezeigt.

SMTP

Nur die gemeinsamen Aktionen sind in der Registerkarte des Postfix-Daemons verfügbar.

Einstellungen

Diese Seite enthält alle allgemeinen Konfigurationselemente für die Protokollierungsfunktionen der Panda GateDefender-Appliance, die in vier Felder unterteilt sind: Sie sind in vier Felder unterteilt: Protokollansichtsoptionen, Protokollübersicht, Remote-Protokollierung und Firewall-Protokoll.

Protokollansichtsoptionen

Anzahl der anzuzeigenden Zeilen
Der Wert Paginierung, d. h. wie viele Zeilen pro Berichtseite angezeigt werden.
In umgekehrter chronologischer Reihenfolge sortieren
Wenn dieses Kontrollkästchen aktiviert ist, werden die neuesten Protokolleinträge zuerst angezeigt.

Protokollübersichten

Zusammenfassungen für __ Tage aufheben
Hier können Sie festlegen, wie lange die Protokollübersichten vor dem Löschen auf der Festplatte gespeichert werden sollen.
Detaillierungsgrad
Die Detailstufe, die für die Protokollübersicht anzuwenden ist: je höher der Detaillierungsgrad, desto mehr Protokolleinträge werden gespeichert und angezeigt. Das Dropdown-Menü bietet drei Detaillierungsgrade: Niedrig, Mittel und Hoch.

Fernprotokollierung

Aktiviert (Remote-Protokollierung)
Durch Aktivieren dieses Kästchens wird die Remote-Protokollierung aktiviert. Mithilfe der folgenden Option kann der Hostname des syslog-Servers eingegeben werden.
Syslog Server:
Der Hostname des Remote-Servers, an den die Protokolle gesendet werden. Der Server muss die neuesten syslog-Protokollstandards der IETF unterstützen.

Firewall-Protokollierung

Pakete mit verdächtigen TCP-Flags protokollieren
Wenn diese Option aktiviert ist, protokolliert die Firewall Pakete mit einer fehlerhaften Konstellation der TCP-Flag (z. B. wenn alle Flags gesetzt sind).
NEUE Verbindungen ohne SYN Flag protokollieren
Wenn diese Option aktiviert ist, werden alle neuen TCP-Verbindungen ohne SYN Flag protokolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Um alle akzeptierten ausgehenden Verbindungen zu protokollieren, muss dieses Kontrollkästchen aktiviert sein.
Abgelehnte Pakete protokollieren
Bei Aktivierung dieser Option werden alle abgelehnten Pakete von der Firewall protokolliert.

Gesicherte Zeitstempel

Das gesicherte Zeitstempeln ist ein Prozess, dem Protokolldateien (und generell sämtliche Dokumente) unterzogen werden, um ihre Herkunft und die Übereinstimmung mit dem Original zu prüfen und zu bestätigen. Anders ausgedrückt: Durch das gesicherte Zeitstempeln kann man überprüfen und bestätigen, dass eine Protokolldatei in keinster Weise von irgendeiner Person geändert wurde, auch nicht vom ursprünglichen Verfasser. Im Falle von Protokolldateien hat sich das gesicherte Zeitstempeln zur Überprüfung der Zugriffe auf das System oder der Verbindungen von VPN-Benutzern als nützlich erwiesen, selbst im Falle unabhängiger Nachprüfungen.

Das gesicherte Zeitstempeln ist standardmäßig nicht aktiviert. Es lässt sich jedoch mit nur einem Klick auf den grauen Schalter aktivieren. Wenn der Schalter auf grün wechselt, werden einige Konfigurationsoptionen angezeigt.

URL des Servers zur Erstellung der Zeitstempel

Die URL des Servers zur Erstellung der Zeitstempel (auch TSA genannt) ist zwingend erforderlich, da die Protokolldateien von diesem Server signiert werden.

Hinweis

Für das gesicherte Zeitstempeln wird eine gültige URL von einem gültigen TSA benötigt. Verschiedene Unternehmen bieten diesen Dienst an.

HTTP-Authentifizierung
Aktivieren Sie das Kontrollkästchen unter HTTP Authentifizierung, wenn für den zur Erstellung der Zeitstempel verwendeten Server eine Authentifizierung erforderlich ist.
Benutzername
Der Benutzername, der zur Authentifizierung auf dem betroffenen Server verwendet wird.
Kennwort
Das Passwort, das zur Authentifizierung auf dem betroffenen Server verwendet wird.
Öffentlicher Schlüssel des Zeitstempel-Servers
Zur Erleichterung der Kommunikation und zur Erhöhung der Sicherheit kann der öffentliche Schlüssel des Servers importiert werden. Sie können die Zertifikatsdatei auf dem lokalen Computer suchen, indem Sie auf die Schaltfläche Durchsuchen... klicken, und Sie sie anschließend in der Panda GateDefender-Appliance durch Betätigen der Schaltfläche Hochladen hochladen. Nachdem das Zertifikat gespeichert wurde, wird neben der Bezeichnung Öffentlicher Schlüssel des Zeitstempel-Servers ein Download-Link angezeigt, der für den Erhalt des Zertifikats angeklickt werden kann, wenn dieses beispielsweise auf einer weiteren Panda GateDefender-Appliance installiert werden soll.

Nachdem Sie auf die Schaltfläche Speichern geklickt haben, werden die Einstellungen gespeichert. Am nächsten Tag wird im Abschnitt Protokolle rechts neben dem Feld Einstellungen eine neue Schaltfläche angezeigt.

Protokollsignatur überprüfen
Wenn Sie auf diese Schaltfläche klicken, wird eine Meldung in einem gelben Textfeld angezeigt, die Sie über den Protokollstatus informiert.

Siehe auch

Die offizielle OpenSSL-Zeitstempeldokumentation und RFC 3161, in denen das Zeitstempelprotokoll erstmals definiert wurde.

Inhalt

Vorheriges Thema

Benutzerzugriff auf den Hotspot

Nächstes Thema

Glossar

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 17. September 2014.