El menú Registros e informes¶

En esta página se especifica la información siguiente:

La sección de registros del dispositivo Panda GateDefender permite ver exhaustivamente los registros y administrarlos.

El submenú situado en el lateral izquierdo de la pantalla contiene los siguientes elementos:

Panel de control: el nuevo módulo de generación de informes
Registros en tiempo real: permite acceder a una vista rápida y en vivo de las últimas entradas de los registros a medida que se generan
Resumen: permite acceder a resúmenes diarios de todos los registros
Sistema: registros del sistema (/var/log/messages) filtrados por origen y fecha
Servicio: registros del sistema de detección de intrusiones (IDS, por sus siglas en inglés), OpenVPN y el antivirus
Firewall: registros de reglas de iptables
Proxy: registros de los proxies de HTTP, SMTP y filtro de contenido
Configuración: personalización de todas las opciones de registro
Servidor de timestamps seguros: fija marcas de tiempo en los archivos de registros para verificar que no han sido alterados

En resumen, existen dos modalidades para acceder al registro desde la GUI: en vivo y “por servicio”. En el modo en vivo, los archivos de registro se visualizan en cuanto se crean, mientras que en el modo “por servicio” solo se muestran registros producidos por un demonio o servicio.

Panel de control ¶

La GUI de generación de informes es un nuevo módulo, introducido en la versión 5.50, cuyo propósito es mostrar gráficamente la existencia de diversos tipos de eventos en el sistema.

Resumiendo, el módulo de generación de informes muestra eventos ocurridos en el dispositivo Panda GateDefender utilizando diferentes widgets y gráficos. Todos los eventos que se producen en el sistema y la información referente a ellos registrada por el demonio syslog se analizan y se utilizan para rellenar una base de datos sqlite3. Desde aquí, los datos se recopilan según las opciones y los filtros aplicados en la GUI y son mostrados por los widgets.

Nota

Este módulo está ligeramente vinculado a las Notificaciones de eventos situadas en Barra de menú ‣ Sistema ‣ Notificaciones de eventos. Todos los eventos registrados ahí, y en relación con los cuales se envían alertas por SMS o correo electrónico, también aparecen aquí, pero no sucede lo mismo a la inversa.

Esta página se divide en seis pestañas: Resumen, Sistema, Web, Correo no deseado, Ataquesy Virus. Excepto por la primera pestaña, que muestra una vista general de todos los eventos, cada una de ellas está dedicado a un servicio preciso que se ejecuta en el dispositivo Panda GateDefender.

Elementos comunes ¶

Todas las pestañas comparten el mismo diseño: debajo de las pestañas, hay un selector de fecha en el lado izquierdo y un botón Imprimir en el lado derecho. A continuación, hay un gráfico de líneas con una barra de desplazamiento horizontal justo debajo, encima de un cuadro informativo (Cuadrícula resumen) y un gráfico circular. En la parte inferior hay una o más tablas, dependiendo de la pestaña y los datos mostrados. La tabla que está siempre presente es la que muestra los mensajes syslog relacionados con los eventos mostrados.

Más detalladamente, aquí se incluye una descripción de todos los widgets presentes en el módulo de generación de informes.

Selector de fecha: En la parte superior izquierda de la GUI hay un hipervínculo que muestra el intervalo en el que se produjeron los eventos que han sido considerados para los gráficos. Al hacer clic en él, un panel pequeño da acceso a otras opciones de intervalos. Existen dos tipos de opciones: la primera está relacionada con los eventos que han tenido lugar en los ... últimos días, a saber eventos del último día, semana, mes, trimestre o año; la segunda selecciona todos los eventos que se hayan producido en uno de los 12 últimos meses. Al seleccionar un nuevo periodo de tiempo, los demás widgets también se actualizan. También existe la posibilidad de no cambiar el intervalo mostrado, haciendo clic en Cancelar.
Imprimir: Al hacer clic en este botón se muestra una vista previa de impresión de la página actual, en la que el botón Atrás reemplaza al botón Imprimir y abre una ventana emergente en la que puede elegir el dispositivo de impresión.

Gráfico de líneas y deslizador de tiempo.

El gráfico de líneas muestra el evento ocurrido en el dispositivo Panda GateDefender durante el periodo de tiempo seleccionado en un gráfico bidimensional, en el que el eje x muestra el intervalo de tiempo y el eje y muestra el número de repeticiones. Una línea de color conecta eventos del mismo tipo.

Sugerencia

Los diferentes tipos de evento se indican con distintos colores.

El deslizador de tiempo está ubicado debajo del gráfico y muestra, dentro del periodo de tiempo seleccionado, una vista más detallada de los eventos, representados aquí como histogramas. De hecho, se puede hacer clic en los dos extremos grises a izquierda y derecha del deslizador y arrastrarlos para reducir el tiempo mostrado en el gráfico de líneas. Cuando se reduce, el deslizador también puede moverse haciendo clic en el centro y arrastrándolo a la izquierda o la derecha.

Cuadrícula resumen

La cuadrícula resumen tiene un doble finalidad: por un lado, mostrar el número de repeticiones de los diversos tipos de eventos que se han producido en el dispositivo Panda GateDefender en el periodo seleccionado y, por otro, filtrar qué tipo de eventos se muestran en el gráfico de líneas. Su contenido cambia según las pestañas en las que se encuentra, es decir, según los tipos de eventos registrados. La cuadrícula resumen no está presente en las pestañas Correo, Ataquesy Virus, en las que se sustituye por una serie de tablas con detalles sobre los eventos.

Gráfico circular

El diagrama de gráfico circular muestra gráficamente el número de eventos que han tenido lugar en el periodo de tiempo seleccionado. Desde la pestaña Resumen, se puede hacer clic en cada sector para abrir la pestaña correspondiente al tipo de evento y mostrar una representación más detallada.

Tabla syslog

Una tabla que muestra los mensajes syslog extraídos de los archivos de registro y relacionados con los eventos mostrados en los gráficos. Cuando la tabla contiene muchos mensajes, estos se dividen en muchas páginas y pueden visualizarse utilizando los botones y los números que hay en su lado inferior izquierdo. En la parte inferior derecha hay un icono que permite actualizar el contenido de la tabla.

Resumen ¶

La pestaña Resumen muestra una visión general de todas las categorías de eventos registrados en el dispositivo Panda GateDefender. La cuadrícula resumen permite filtrar los siguientes tipos de eventos:

Intentos de intrusión. Los eventos registrados por el IPS.
Correo. La cantidad de correo electrónico no deseado recibido.
Sistema. El número de inicios de sesión y otros eventos relacionados con las tareas de administración del sistema (por ejemplo: enlaces activos, cambio de estado, inicio y cese del registro, etc.).
Virus. El número de virus encontrados.
Web. El número de páginas bloqueadas por el filtro de contenido.

Cada categoría puede mostrarse por separado, con más información y un nivel superior de detalles en las demás pestañas de la página; véase más adelante.

Sistema ¶

La pestaña Sistema muestra todos los eventos que están relacionados con la eficiencia y la administración del sistema. Estos son todos los eventos mostrados:

Enlace activo. Las veces que los enlaces activos se conectan o se desconectan.
Inicio de sesión. El número de inicios de sesión, tanto correctos como incorrectos.
Estado. Los cambios en el estado del dispositivo Panda GateDefender.
Disco. Los eventos relacionados con E/S de disco.
Soporte. Número de accesos y operaciones realizados por el equipo de soporte.
Actualización. Eventos que conllevan una actualización del sistema o de paquetes.

Al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto de las categorías, mientras que la actual aparece más detallada y el gráfico circular está actualizado.

Web ¶

La pestaña Web muestra el número de páginas a las que se ha accedido o que ha bloqueado el motor de filtrado de URL. La cuadrícula resumen está compuesta por dos pestañas: Informe de accesos e Informe de filtros.

Informe de accesos ¶

Esta pestaña muestra los dominios a los que se ha accedido, agrupados en tres tablas que muestran, respectivamente, la Dirección IP de origen, el Dominio y los Usuarios con el recuento total para cada elemento.

Nota

La pestaña Informe de accesos no está presente en todos los dispositivos.

Informe de filtros ¶

Esta pestaña muestra los dominios para los que se ha bloqueado el acceso. En la primera tabla se muestran las siguientes categorías, que son las que se encuentran en Filtro web (véase Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro web).

Uso general.
Control parental.
Productividad.
Seguridad.
Sitios sin categoría.

Como en el caso de la pestaña Sistema, al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto de las categorías, mientras que la actual aparece más detallada y el gráfico circular está actualizado.

El resto de las tablas de la parte inferior muestran los recuentos de todos los objetos bloqueados: las Direcciones IP de origen, las URL y los Usuarios.

Correo ¶

La pestaña Correo muestra todos los mensajes bloqueados como spam.

No hay ninguna cuadrícula resumen en esta pestaña, que queda reemplazada por tres tablas que muestran los recuentos de:

De. Los emisores de mensajes de spam.
Para. Los receptores de mensajes de spam.
Dirección IP de origen. La dirección IP desde la que se ha enviado el mensaje de spam.

Intentos de intrusión ¶

La pestaña Intentos de intrusión muestra todas las tentativas de intrusión detectadas por el IPS (véase Barra de menú ‣ Servicios ‣ Prevención de intrusiones).

Las tablas de la parte inferior muestran recuentos de la siguiente información:

Intentos de intrusión. Las categorías en las que se clasifica cada intento.
Dirección IP de origen. La dirección IP desde la que se ha originado el ataque.
Dirección IP de destino. La dirección IP contra la que se ha lanzado el ataque.

Virus ¶

La pestaña Virus muestra todos los virus interceptadas por el motor de antivirus (véase Barra de menú ‣ Servicios ‣ Motor de antivirus).

Las tablas de la parte inferior muestran recuentos de la siguiente información:

Nombre del virus. El nombre del virus encontrado.
Dirección IP de origen. La dirección IP donde el virus se encontraba originalmente.
Dirección IP de destino. La dirección IP a la que se ha propagado el virus.

Conexiones ¶

La pestaña Conexiones muestra el número medio de conexiones iniciadas por los usuarios del dispositivo Panda GateDefender, agrupadas por:

Conexiones locales. Accesos a través de SSH o consola.
Usuarios de IPsec. Clientes conectados a través de IPsec.
Usuarios del Hotspot. Usuarios que acceden al Hotspot.
Usuarios de OpenVPN. Clientes conectados mediante VPN.

Monitorización de tráfico ¶

El software ntopng es el sucesor del analizador de tráfico de red ntop, que añade una interfaz más intuitiva y más representaciones gráficas del tráfico que fluye a través del dispositivo Panda GateDefender.

La interfaz de administración de ntopng ofrece ahora más usabilidad y se puede acceder a ella fácilmente desde cualquier explorador. Por lo tanto, se ha integrado mejor con la interfaz del dispositivo Panda GateDefender que en versiones anteriores.

Las capacidades de ntopng se pueden resumir de la siguiente forma:

Supervisión en tiempo real de cada interfaz de red del dispositivo Panda GateDefender.
Interfaz de administración accesible por web.
Menos recursos necesarios en comparación con ntop.
Integración de nDPI (firewall de la aplicación).
Análisis del tráfico según diferentes parámetros (protocolo, origen/destino).
Exportación de informes en formato JSON.
Almacenamiento de las estadísticas de tráfico en el disco.

La GUI de ntopng se organiza en cuatro pestañas: Panel de control Flujos, Hosts e Interfaces. Además, también existe un cuadro de búsqueda para mostrar rápidamente información sobre un host específico.

En el pie de página de cada pestaña, se muestran un par de datos. Además de un aviso de copyright y un enlace a la página principal de ntop, hay un gráfico que muestra el tráfico de red durante los 20 últimos segundos, actualizado en tiempo real, y algunos datos numéricos sobre el ancho de banda actual utilizado, el número de hosts y flujos y el tiempo en línea del dispositivo Panda GateDefender.

Panel de control ¶

El panel de control muestra todas las conexiones que interesan al dispositivo Panda GateDefender, es decir, todos los Flujos establecidos en los que participa el dispositivo Panda GateDefender.

La página se divide en varios diagramas. El primero (llamado diagrama Sankey) muestra todos los flujos que pasan por el dispositivo Panda GateDefender actualizados en tiempo real. Los flujos horizontales muestran el tráfico entre dos hosts, mientras la anchura vertical de cada flujo es proporcional al ancho de banda utilizado por cada uno, es decir, a la cantidad de datos que fluye. Las conexiones y, por tanto, el sentido de los datos enviados aparecen de izquierda a derecha. Los hosts del lado izquierdo del diagrama envían datos a hosts del lado derecho y se identifican por su dirección IP o nombre del host. Al hacer clic en un host, se llega a la página Información general de la pestaña Hosts, que muestra varios datos acerca de ese host.

Debajo del diagrama Sankey, cuatro gráficos circulares informativos muestran en porcentaje los elementos que generan más tráfico, divididos en: total por host (parte superior izquierda); protocolos de aplicación (parte superior derecha), ASN (parte inferior izquierda) y emisores de flujo en vivo (parte inferior derecha).

Flujos ¶

La pestaña de flujos activos contiene una tabla grande con cierta información sobre los flujos activos:

Información. Un clic en el icono abre una página nueva en la que se muestra información más detallada sobre ese flujo.
Aplicación. La aplicación que provoca el flujo. Se usa nDPI para reconocer la aplicación, por lo que podría ser necesario esperar a un par de paquetes para que muestre la aplicación correcta. En este caso, el mensaje (Demasiado pronto) aparece en lugar del nombre de la aplicación.
L4 Proto. El protocolo de red usado por el flujo, que suele ser TCP o UDP.
Cliente. El nombre del host y el puerto utilizados por el flujo en el lado del cliente. Al hacer clic en el nombre del host o en el puerto, se mostrará más información en una página nueva sobre el tráfico de red que fluye por ese host o puerto.
Servidor. El nombre del host y el puerto utilizado por el flujo en el lado del servidor. Igual que en el caso del Cliente explicado anteriormente, se muestra más información cuando se hace clic en el nombre del host o en el puerto.

Sugerencia

Al hacer clic en el nombre del host o en el puerto, la tabla muestra información detallada al respecto y abre una subpestaña en la pestaña Hosts.
Duración. La duración de la conexión.
Desglose. El porcentaje de tráfico generado por el cliente y el servidor.
Rendimiento. La cantidad de datos actualmente intercambiados entre el cliente (en la parte izquierda, en negro) y el servidor (a la derecha, en verde).
Número total de bytes. El total de datos intercambiados desde que se establece la conexión.

En la parte inferior izquierda de la tabla se indica el número total de filas mostradas, mientras que en la parte derecha es posible examinar las distintas páginas en las que se divide la tabla cuando el número de filas es mayor que la paginación.

Un clic en el icono Información dará información detallada sobre ese flujo concreto. Además de los datos descritos anteriormente, se muestran estos otros datos:

Visto por primera vez. La marca de tiempo del momento en el que se ha establecida la conexión, junto con el tiempo que ha pasado desde entonces.
Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese momento.
Tráfico de Cliente a servidor. El número de paquetes y bytes enviados del cliente al servidor.
Tráfico de Servidor a cliente. El número de paquetes y bytes enviados del servidor al cliente.
Flags TCP. Los estados de TCP del flujo actual.

Es posible volver a la lista de flujos haciendo clic en el hipervínculo Flujos en la parte izquierda, justo encima de la tabla.

Hosts ¶

La pestaña Hosts permite ver varios detalles sobre las partes que participan en un flujo: host, puerto, aplicación, flujos y su duración, datos intercambiados, etc.

Hay dos representaciones disponibles: Lista de hosts y Hosts principales (locales)

La representación de la Lista de hosts muestra información sobre todos los hosts que participan en algún flujo con el dispositivo Panda GateDefender y los siguientes datos sobre ellos:

Dirección IP. La dirección IP o la dirección MAC del host. La segunda se muestra si la asignación DHCP para ese host ha caducado.
Ubicación. Si el host está en la red local o en una red remota.
Nombre simbólico. Si está disponible, es el nombre de host del host.
Visto desde. La marca de tiempo de la primera conexión establecida.
ASN.
Desglose. El equilibrio entre el tráfico enviado y el recibido.
Tráfico. La cantidad de datos intercambiados por el host.

Al hacer clic en la dirección IP, se abre una descripción general del host que muestra varios datos sobre él, además de los indicados anteriormente:

Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese momento.
Desglose del tráfico enviado frente al tráfico recibido. El tráfico generado o recibido por el host.
Tráfico enviado. El número de paquetes y bytes enviados del cliente al servidor.
Tráfico recibido. El número de paquetes y bytes enviados del servidor al cliente.
JSON. Descarga información acerca del host en formato JSON.
Mapa de actividad. Cuántos flujos han visto el host que participa en una marca de tiempo determinada. Cada cuadrado muestra un minuto. Cuanto más oscuro es el color, más flujos han tenido lugar en ese minuto.

Desde aquí también es posible abrir otras pestañas informativas sobre ese host. Cada pestaña contiene uno o más gráficos circulares (excepto las pestañas Contactos e Histórico) que se presenta encima de un resumen textual de los datos mostrados.

Tráfico. El protocolo de red utilizado por el host. (TCP, UDP e ICMP son los más comunes).
Paquetes. La longitud en paquetes de cada flujo. (Nota: es mi suposición).
Protocolos. El protocolo de aplicación utilizado por el host.
Flujos. La tabla con todos los flujos de red de los hosts.
Talkers. El diagrama Sankey de las conexiones, muy similar a la que se muestra en el panel de control, que, sin embargo, solo muestra los flujos más activos.
Contacto. Esta pestaña es ligeramente distinta a las demás. En la parte superior muestra un mapa de interacción y en la parte inferior, una lista de conexiones que tienen el host como cliente o destinatario.
Histórico. Un gráfico interactivo que muestra el historial del

tráfico que ha fluido desde y hacia el host en un intervalo de tiempo determinado (hasta un año), que puede seleccionarse encima del gráfico.

La representación de Hosts principales (locales) muestra un gráfico en tiempo real de los hosts que tienen conexiones activas en el host. Muestra los 30 últimos minutos.

Interfaces ¶

La pestaña Interfaces permite seleccionar la interfaz de red, entre las activas, cuyo tráfico debe mostrarse.

Nota

Actualmente no es posible seleccionar flujos ni hosts de distintas interfaces

En vivo ¶

Al entrar en la sección Registros o hacer clic en la entrada En vivo en el submenú, aparece el Visor de registros en tiempo real, un cuadro que muestra la lista de todos los archivos de registro disponibles para ver en tiempo real. Seleccionando las casillas correspondientes, se pueden elegir todos los registros que se deseen ver, que aparecerán en una nueva ventana al hacer clic en el botón Mostrar registros seleccionados. Para ver todos los archivos de registro a la vez, seleccione la casilla Seleccionar todos encima del botón Mostrar registros seleccionados y, a continuación, haga clic en este último botón. Para ver un solo archivo, haga clic en el enlace Mostrar solo este registro.

La ventana que se abre contiene dos cuadros, Configuración en la parte superior y Registros en tiempo real en la parte inferior.

Advertencia:

la lista de entradas de registros puede resultar ilegible si se muestran muchos registros, puesto que puede haberse generado una gran cantidad de entradas de registros (especialmente por el registro del firewall o el proxy, que puede generar varias entradas de registro por segundo en caso de mucho tráfico). En estos casos, los registros que se mostrarán pueden configurarse en el cuadro Configuración.

Configuración ¶

Este cuadro permite modificar la configuración del visor de registros, lo que incluye qué archivos de registro se mostrarán, su color y las opciones para destacar o buscar palabras clave específicas.

A la derecha del cuadro aparece la lista de registros que se muestran en ese momento y el color con el que aparecen destacados, mientras que a la izquierda se muestran algunos elementos de control adicionales que ayudan a limitar la salida:

Filtro: Solo se muestran las entradas de registro que contienen la expresión introducida en este campo.
Filtro adicional: Igual que el filtro anterior, pero aplicado a la salida del primer filtro. En otras palabras, en el registro solo se muestran las entradas de registro que contienen ambas expresiones.
Pausar salida: Hacer clic en este botón impedirá que aparezcan nuevas entradas de registro en el registro en tiempo real. No obstante, al hacer clic en este botón por segunda vez, todas las entradas nuevas aparecerán al instante y desplazarán rápidamente las anteriores.
Destacar: Todas las entradas de registro que contienen esta expresión se destacarán con el color elegido. La diferencia con la opción de filtro es que todavía se muestra todo el contenido y las entradas de registro que contienen la expresión estarán destacadas con un fondo de color.
Color de destacado: Hacer clic en el recuadro de color ofrece la posibilidad de seleccionar el color que se utilizará para destacar.
Desplazamiento automático: Esta opción solo se encuentra disponible si la opción Ordenar por orden cronológico inverso en la sección Barra de menú ‣ Registros ‣ Configuración está desactivada. Esto hace que todas las entradas nuevas aparezcan al pie de la página. Si se activa esta opción, la lista se desplaza hacia arriba para mostrar las últimas entradas al pie de la página. De lo contrario, solo se muestran las entradas más antiguas y se debe utilizar la barra de desplazamiento de la derecha para ver las nuevas.

Para añadir o eliminar algún registro de la pantalla, haga clic en el enlace Mostrar más debajo de la lista de archivos de registro de la parte superior derecha. Los controles se reemplazarán por una tabla desde la cual se pueden seleccionar los archivos de registro deseados marcando o desmarcando sus respectivas casillas. Para cambiar el color de un archivo de registro, haga clic en la paleta de colores de ese tipo de registro y, a continuación, seleccione un color nuevo. Para ver los controles otra vez, haga clic en uno de los enlaces Cerrar debajo de la tabla o de la lista de los archivos de registro mostrados.

Registros en tiempo real ¶

Los registros seleccionados para su visualización aparecen en este cuadro, que consiste en una tabla dividida en tres columnas.

Columna izquierda: Esta columna contiene el nombre del registro, es decir, el demonio o servicio que genera la entrada del registro.
Columna central: La marca de tiempo (fecha y hora) del evento que se ha registrado.
Columna derecha: El mensaje real generado por el servicio o demonio y registrado en los archivos de registro.

Nota

Algunos mensajes de registro (especialmente entradas del firewall) abarcan más de una línea, lo que se indica mediante el botón a la derecha del mensaje. Para mostrar todo el mensaje, haga clic en él o en el botón.

Por último, también existe la posibilidad de aumentar o disminuir el tamaño de la ventana haciendo clic en los botones Aumentar altura o Disminuir altura, respectivamente, que están situados en el encabezado del cuadro.

Acciones comunes ¶

Las entradas Sistema, Servicio, Firewall y Proxy del submenú muestran archivos de registro para diferentes servicios y demonios, agrupados por características similares. Hay varios controles disponibles para buscar dentro del registro, o ver solo algunas entradas del registro, muchas de las cuales son las mismas en todos los servicios y demonios; solo el elemento del menú Sistema y la pestaña Informe de HTTP bajo Proxy tienen algunos controles adicionales. Estas entradas del submenú también tienen una estructura común de sus páginas, organizadas en dos cuadros: Configuración en la parte superior y Registro en la parte inferior.

Filtro: Solo se muestran las líneas que contienen la expresión introducida.
Ir a la fecha: Muestra directamente las entradas de registro para esta fecha.
Ir a página: Muestra directamente las entradas de registro de esta página en los resultados. La cantidad de entradas mostradas por página se puede modificar en la página Barra de menú ‣ Registros ‣ Configuración.
Actualizar: Después de cambiar cualquiera de las configuraciones anteriores, hacer clic en este botón actualiza el contenido de la página. Esta página no se actualiza automáticamente.
Exportar: Al hacer clic en este botón las entradas de registro se exportan a un archivo de texto.
Firmar registro: Al hacer clic en este enlace, se firma el registro actual. Este botón solo está disponible si está activado Servidor de timestamps seguros.
Anterior, Nuevo: Estos dos botones se encuentran en el cuadro Registro y aparecen cada vez que la cantidad de entradas es tan grande que se divide en dos o más partes. Al hacer clic en ellos, permiten explorar entradas anteriores o más nuevas de los resultados de la búsqueda.

Nota

Un mensaje en la parte superior de la página indica si no hay registros disponibles en una fecha determinada. Esto puede suceder si el demonio o servicio no se ejecutaron o si no generaron ningún mensaje.

En el resto de esta sección, se presentan todos los servicios y sus configuraciones particulares.

Resumen ¶

Esta página presenta resúmenes de los registros generados por el dispositivo Panda GateDefender, separados por día y generados por el software de monitorización logwatch. A diferencia de otras partes de la sección de registro, tiene sus propias configuraciones para controlar el nivel de los detalles mostrados. Los siguientes elementos de control están disponibles en el primer cuadro en la parte superior de la página.

Mes: Selecciona desde este menú desplegable el mes en el que se generaron los mensajes de registro.
Día: El segundo menú desplegable permite elegir el día en el que se generaron los mensajes de registro.
<<, >>: Permiten explorar el historial, moverse de un día (o parte de él si se han generado demasiados mensajes) a otro. El contenido de la página se actualizará automáticamente.
Actualizar: Actualiza inmediatamente el contenido de la página cuando se ha cambiado la combinación mes/día.
Exportar: Al hacer clic en este botón, aparece una versión de texto del resumen y se puede guardar en el sistema de archivos local.

Debajo del cuadro Configuración, aparece una cantidad variable de cuadros, según los servicios activos que tienen entradas de registro. Como mínimo debe estar visible el cuadro Espacio de disco, que muestra el espacio de disco disponible en la fecha seleccionada. También pueden aparecer otros cuadros, como Sufijo (lista de correos) y Firewall (paquetes aceptados y eliminados).

Observe que los resúmenes no están disponibles para el día actual, puesto que se crean cada noche a partir de los archivos de registro generados el día anterior.

Sistema ¶

En esta sección aparece el visor de registros para los varios archivos de registro del sistema. El cuadro superior, Configuración, define los criterios para mostrar las entradas en el cuadro inferior. Junto a las acciones comunes, hay un control adicional disponible:

Sección: Permite seleccionar el tipo de registro que debe aparecer, Todos o solo los relacionados con un servicio o demonio determinados. Entre otros, incluyen mensajes de kernel, acceso SSH, NTP y demás.

Después de elegir la sección, haga clic en el botón Actualizar para actualizar los registros que aparecen en el cuadro Registro al pie de la página, donde los botones Anterior y Nuevo permiten navegar por las páginas.

Servicio ¶

En esta sección aparecen las entradas de registro para tres de los servicios más importantes proporcionados por el dispositivo Panda GateDefender: IDS, OpenVPN, y el antivirus Panda, cada uno en su propia pestaña. Solo se encuentran disponibles las acciones comunes.

Firewall ¶

El visor de registros de firewall contiene los mensajes que registran las actividades del firewall. Solo se encuentran disponibles las acciones comunes.

La información que se muestra en la tabla es:

Hora: La marca de tiempo en que el mensaje se ha generado.
Cadena: La cadena a través de la cual ha pasado el paquete.
Interfaz: La interfaz por la que ha pasado el paquete.
Proto: El prototipo del paquete.
Origen, Puerto de origen: La dirección IP y el puerto desde donde ha llegado el paquete.
Dirección MAC: La dirección MAC de la interfaz de origen.
Destino, Puerto de destino: La dirección IP y el puerto a los que tenía que llegar el paquete.

Proxy ¶

El visor de registros del proxy muestra los registros de los cuatro demonios que usan el proxy. Cada uno tiene su propia pestaña: squid (HTTP), icap (Filtro de contenido), sarg (Informe de HTTP), y smtpd (SMTP, proxy de correo electrónico).

HTTP y filtro de contenido ¶

Además de las acciones comunes, el visor de registro para el proxy HTTP y el filtro de contenidos permiten especificar estos valores:

IP de origen: Muestra solo las entradas de registro que contienen la dirección IP de origen seleccionada, elegida desde un menú desplegable.
Ignorar filtro: Una expresión regular que excluye todas las entradas de registro que la contienen.
Activar ignorar filtro: Marque esta casilla para desactivar temporalmente la opción de ignorar filtro.
Restaurar los valores predefinidos: Hacer clic en este botón restaurará todos los parámetros de búsqueda predeterminados.

Informe de HTTP ¶

La pestaña Informe de HTTP solo tiene una opción: permite activar o no el generador de informes de análisis de proxy haciendo clic en la casilla Activar y, a continuación, en el botón Guardar. Una vez que el generador de informes está activado, al hacer clic en los enlaces Informe diario, Informe semanal, e Informe mensual, se muestran informes de HTTP detallados.

SMTP ¶

En la pestaña del demonio posfijo, solo se encuentran disponibles las acciones comunes.

Configuración ¶

Esta página contiene todos los elementos de configuración global de las funciones de registro del dispositivo Panda GateDefender, organizados en cuatro cuadros: Opciones del visor de registros, Resúmenes de registro, Registro remoto y Registro del firewall.

Opciones del visor de registros ¶

Número de líneas a mostrar: El valor de paginación, es decir, la cantidad de líneas que se muestran por página de registro.
Ordenar por orden cronológico inverso: Si esta casilla está seleccionada, las entradas de registro más nuevas aparecerán primero.

Resúmenes de registro ¶

Guardar resúmenes durante __ días: El tiempo durante el cual deben almacenarse los resúmenes de registro en el disco antes de eliminarlos.
Nivel de detalle: El nivel de detalle del resumen de registro: cuanto más alto sea el nivel, mayor cantidad de entradas de registro se guardan y muestran. El menú desplegable ofrece tres niveles de detalle: bajo, medio y alto.

Registro remoto ¶

Activado (registro remoto): Hacer clic en esta casilla permite activar el registro remoto. La siguiente opción permite introducir el nombre del host del servidor syslog.
Servidor syslog: Nombre del host del servidor remoto al que se enviarán los registros. El servidor debe ser compatible con los últimos estándares de protocolo de syslog IETF.

Registro del firewall ¶

Registrar paquetes con constelación MALA de flags TCP: Si esta opción está activada, el firewall registrará paquetes con constelación mala de flags TCP (por ejemplo, todos los flags están establecidos).
Registrar conexiones NUEVAS sin flag SYN: Si esta opción está activada, se registrarán todas las conexiones TCP nuevas sin el flag SYN.
Registrar las conexiones salientes aceptadas: Para registrar todas las conexiones salientes aceptadas, se debe marcar esta casilla.
Registrar paquetes rechazados: Si esta opción está activada, el firewall registrará todos los paquetes rechazados.

Servidor de timestamps seguros ¶

El servidor de timestamps seguros es un proceso por el que pasan los archivos de registro (en general cualquier documento) para que se puedan seguir y certificar su origen y cumplimiento con el original. En otras palabras, el servidor de timestamps seguros permite certificar y verificar que un archivo de registro no ha sido modificado por nadie de ningún modo, ni siquiera por el autor original. En el caso de archivos de registro, el servidor de timestamps seguros es útil, por ejemplo, para verificar los accesos al sistema o las conexiones de los usuarios de la VPN, incluso en los casos de auditorías independientes.

El Servidor de timestamps seguros no está activado de manera predeterminada, pero para activarlo solo es necesario hacer clic en el interruptor gris. Cuando se pone verde, aparecen algunas opciones de configuración.

URL del servidor de timestamping: La URL del servidor de timestamping (también denominado TSA) es obligatorio, dado que este servidor firmará los archivos de registro.

Nota

Se necesita una URL válida de un TSA válido para poder utilizar Servidor de timestamps seguros. Varias empresas pueden prestar este tipo de servicio.
Autenticación de HTTP: Si el servidor de timestamping requiere autenticación, marque la casilla situada debajo de la etiqueta Autenticación de HTTP.
Nombre de usuario: El nombre de usuario utilizado para autenticarse en el servidor de timestamping.
Contraseña.: La contraseña utilizada para autenticarse en el servidor de timestamping.
Clave pública del servidor de marcas de tiempo: Para que la comunicación con el servidor sea más sencilla y segura, se puede importar la clave pública del servidor. Se puede buscar el archivo del certificado en el equipo local haciendo clic en el botón Examinar... y luego cargarlo en el dispositivo Panda GateDefender haciendo clic en el botón Cargar. Tras guardar el certificado, junto a la etiqueta Clave pública del servidor de marcas de tiempo, aparecerá el enlace Descarga. Se puede hacer clic en él para recuperar el certificado, por ejemplo, si debe instalarse en otro dispositivo Panda GateDefender.

Después de hacer clic en el botón Guardar, la configuración se guarda y, al día siguiente, aparecerá un botón nuevo en la sección Registros, a la derecha del cuadro Configuración:

Verificar firma de registro: Al hacer clic en él, se muestra un mensaje en un globo amarillo que informa sobre el estado del registro.

Véase también:

La documentación del servidor de timestamps OpenSSL oficial y la RFC 3161, la definición original del protocolo de marca de tiempo.

El menú Registros e informes¶

Panel de control ¶

Elementos comunes ¶

Resumen ¶

Sistema ¶

Web ¶

Informe de accesos ¶

Informe de filtros ¶

Correo ¶

Intentos de intrusión ¶

Virus ¶

Conexiones ¶

Monitorización de tráfico ¶

Panel de control ¶

Flujos ¶

Hosts ¶

Interfaces ¶

En vivo ¶

Configuración ¶

Registros en tiempo real ¶

Acciones comunes ¶

Resumen ¶

Sistema ¶

Servicio ¶

Firewall ¶

Proxy ¶

HTTP y filtro de contenido ¶

Informe de HTTP ¶

SMTP ¶

Configuración ¶

Opciones del visor de registros ¶

Resúmenes de registro ¶

Registro remoto ¶

Registro del firewall ¶

Servidor de timestamps seguros ¶

Tabla de contenidos

Tema anterior

Siguiente tema

Navegación

El menú Registros e informes¶

Tema anterior

Siguiente tema

Búsqueda rápida

Navegación