除了在特定规则/策略上启用数据包捕获/监控之外,是否有更简单的方法来查看或设置 Sonicwall 以显示被阻止的端口/服务(实时或作为报告)?
我认为数据包捕获有点过头了。我不想看到数据包的内容,也不想看到已接受/已转发的数据包,我只想看到一些带有源 IP、目标 IP、目标协议和目标端口详细信息的“丢弃”事件。
我在网上搜索过这个问题,查看了设备的菜单项,检查了 Sonicwall Analyzer,什么也没有。有成功连接的日志和状态、检测到的和阻止的攻击等,但不仅仅是显示被阻止端口的简单报告。
我曾经使用过 Juniper 防火墙,ScreenOS 和 JunOS 版本都允许我启用策略(例如全局阻止策略)上的日志记录,然后使用 Web 界面或命令行来检查被阻止的内容。
答案1
根据 SonicWALL 的日志事件参考指南,UTM 仅记录最多 32k,然后刷新日志。
日志持久性
SonicOS 目前为滚动日志缓冲区分配 32K。当日志已满时,可以将其通过电子邮件发送给指定的收件人并刷新,也可以直接刷新。电子邮件提供了一种简单版本的日志持久性,而 GMS 提供了一种更可靠和可扩展的方法。通过为管理员提供以纯文本或 HTML 形式传递日志的选项,管理员可以轻松查看和重播记录的事件。
因此,如果您想收集足够的数据来解决阻塞/丢弃端口问题,您将需要在服务器中设置 GMS/Analyzer(在图形控制台中显示大量信息)或您最喜欢的 syslog 守护程序。
启用 syslog 服务器的步骤与添加 GMS/Analyzer 设备的步骤相同:https://support.software.dell.com/kb/sw10097
更新:
要获得 SonicWALL 的这种详细程度,您肯定必须部署 Syslog 服务器。如果您不想看到除丢弃/阻止数据包报告之外的任何其他内容,请确保转到日志 > 类别并取消选中除网络访问之外的所有字段。
要了解您可以在系统日志服务器中找到什么样的信息,请查看此过滤器: