对Sonicwall防火墙上的阻塞/丢弃端口进行故障排除
在特定规则/策略上启用数据包捕获/监视function的缺点是,有没有更简单的方法来查看或设置Sonicwall显示阻塞的端口/服务(实时或作为报告)?
我认为数据包捕获是一个矫枉过正的问题。 我不想看到数据包的内容,我不想看到接受/转发数据包,我只是想看到一些“丢弃”与src-ip,dst-ip,dst-proto和dst-port的详细信息事件。
我在网上search这个,通过设备的菜单项,检查了Sonicwall分析仪,什么也没有。 有成功的连接日志和状态,检测到和阻止攻击等,但不只是简单的报告显示阻塞的端口。
我曾经使用Juniper防火墙,并且ScreenOS和JunOS都允许我在一个策略上启用日志logging(例如全局阻止策略),然后使用Web界面或命令行来检查被阻止的内容。
- Linux RPC删除注册
- 疑难解答(或跟踪)Windowsnetworkinglogin问题
- 如何解释失败的请求跟踪?
- VMWare工作站6.5桥接networking停止工作
- 我应该采取哪些步骤来确定Linux服务器故障的根本原因?
根据SonicWALL的“ 日志事件参考指南” ,UTM只能logging到32k,然后刷新日志。
日志持久性
SonicOS当前将32K分配到滚动日志缓冲区。 当日志满了,它可以通过电子邮件发送到一个定义的收件人和刷新,或者它可以简单地刷新。 电子邮件提供了一个简单版本的logging持久性,而GMS提供了一个更可靠和可扩展的方法。 通过为pipe理员提供以纯文本或HTML格式提供日志的选项,pipe理员可以轻松查看和重放logging的事件。
因此,如果您不想收集足够的数据来解决阻塞/丢失端口问题,则需要在服务器中设置GMS / Analyzer(在graphics控制台中显示大量信息)或您最喜欢的syslog守护进程。
启用系统日志服务器的步骤与添加GMS / Analyzer设备相同: https : //support.software.dell.com/kb/sw10097
更新:
要获得SonicWALL的详细信息,您肯定需要部署Syslog服务器。 如果您不想看到除丢弃/阻止的数据包报告之外的任何其他内容,请务必进入日志>类别,并取消选中除networking访问以外的所有字段。
要了解您希望在系统日志服务器中find什么样的信息,请查看此filter:
