我需要检查/控制许多 CheckPoint FW1 上的所有系统事件 - 不要误解 - 不是规则触发,而是管理员登录、规则更改等事件。
我发现我可以使用两种方法导出日志:
- 抓取日志
- 使用重定向的特殊脚本 检查点日志条目到系统日志,FW1-伐木机
但我不清楚这些日志是否也包含我需要的信息(管理员登录、规则更改)?如果是,是否可以过滤事件?
我还认为,如果系统基于 *nix 平台,那么它一定是一个策略 - 使用基于系统的功能来做我想做的事情。不幸的是,我不知道在哪里“挖掘”。也许你知道?
更新:新信息“FW-1 可以通过 Unixlogger命令将其日志传送到 syslog,并且有第三方日志读取实用程序”
因此,主要问题是如何以最佳方式完成我的任务?有人已经解决了这个问题吗?
PS:我是 CheckPoint 的新用户,所以所有信息对我都很有用。谢谢。
答案1
Checkpoint 有一个用于此目的的附加组件。
http://www.checkpoint.com/products/softwareblades/smartworkflow.html
答案2
我刚刚知道我们在这里使用的一个非常酷的工具。
它被称为 Tufin SecureTrack: http://tufin.com/products_securetrack.php
它非常非常好,可以完全过滤和捕获事件,您可以报告更改或管理员使用情况。它通过 OpSec Api 安全地从数据库读取输入。
该产品最大的缺点是它不是免费的 :) 但你可以试用大约 30 天。试试看吧。
否则,您可以寻找从 OpSec Api 中获取的免费内容 - 它是一个允许软件从检查点数据库读取和写入的 Api!
我没有好的免费产品可以推荐给你。不过你可以看看!
我希望这对你有一点帮助。