Firewall Analyzer

Allmän produktinformation

1. Finns det någon provversion av Firewall Analyzer tillgänglig för utvärdering?
2. Har provversionen några begränsningar?
3. Måste jag återinstallera Firewall Analyzer när jag går över till en betald version?
4. Vilka andra enheter kan generera rapporter om?
5. Jag har inte någon brandvägg, proxyserver eller Radius-server. Kan jag fortfarande använda produkten?
6. Hur många användare kan få samtidig åtkomst till programmet?
7. Firewall Analyzer körs i en webbläsare. Innebär det att jag kan få åtkomst till det varifrån som helst?
8. Hur säker är data som skickas till webbläsaren över Internet?
9. Hur köper jag det Firewall Analyzer?
10. Finns det någon begränsning på hur många användare eller webbplatser jag kan övervaka?

1. Vilka är de rekommenderade systemkraven för Firewall Analyzer?
2. Utför installationen av Firewall Analyzer några ändringar på serverkonfigurationen för brandväggen?
3. Kan jag installera Firewall Analyzer som root-användare?
4. När jag försöker komma åt webbklienten, så visas en annan webbserver. Hur är detta
   möjligt?
5. Är det nödvändigt att säkerhetskopiera databasen eller tar Firewall Analyzer hand om detta?
6. Hur konfigurerar jag Firewall Analyzer som en tjänst i Linux efter installation?

1. Hur kan jag visa sessionsinformation för alla användare som är registrerade för att logga in på Firewall Analyzer?
2. Hur konfigurerar jag min brandvägg till att producera loggfiler i WELF?
3. Min brandvägg kan inte exportera loggar. Hur konfigurerar jag Firewall Analyzer till att rapportera om min brandvägg?
4. Lagrar Firewall Analyzer raw-loggar?
5. Hur tilldelar jag icke-tilldelade protokoll till protokoll och protokollgrupper?

1. Varför visas endast tom grafik?
2. Vilka typer av rapporter kan jag generera?
3. Tilldelas IP-adresser automatiskt?
4. Varför visas vissa trafikvärden som 0,0 MB eller 0,00 %?
5. Vilka olika format kan rapporter exporteras till?
6. Varför visar intranätsrapporterna inga resultat?
7. Varför räknar inte trendrapporteerna med tidvärden eller top-n-värden?
8. Varför är rapporten Icke-använda regler tom?

CheckPoint-brandväggsrapporter

1. Varför visar alla trafikrapporter bytevärden som noll?
2. Varför får jag inga VPN-rapporter för CheckPoint-brandväggen?
3. Varför får jag inga angreppsrapporter för CheckPoint-brandväggen?
4. Firewall Analyzer visar destinationsplatsen (exempel: www.yahoo.com) men visar inte den fullständiga URL-länken (exempel: www.yahoo.com/index.html)?
5. Varför visas inga resultat för överförda kilobyte i rapporterna för CheckPoint-brandväggen?
6. Varför visas endast Okända händelser i grafiken för Händelseöversikt på kontrollpanelen?

Cisco PIX-brandväggsrapporter

1. Varför ser jag inte trafikrapporterna i Cisco-brandväggarna?
2. Varför får jag inga VPN-rapporter för Cisco-brandväggar?
3. Varför visar min angreppsrapport meddelandet Inga data tillgängliga?
4. Varför populeras aldrig min virusrapport?
5. Varför visar min administrationsrapport meddelandet Inga data tillgängliga?

NetScreen-brandväggsrapporter (Syslog)

1. Jag får inga trafikrapporter. Varför visas alla värden för SKICKAT och MOTTAGET som noll?
2. Varför populeras inte VPN-rapporterna för mina NetScreen-brandväggar?
3. Varför får jag inga virusrapporter för NetScreen-brandväggar?

Andra brandväggsrapporter (Sonicwall, Fortigate och alla andra brandväggar som stöder WELF)

1. Varför visar mina rapporter meddelandet Inga data tillgängliga?
2. Varför får jag inga trafikrapporter?
3. Varför visar inte VPN-rapporterna för min brandvägg några data?
4. Varför populeras inte virusrapporten för min brandvägg?
5. Varför populeras inte angreppsrapporten för min brandvägg?
6. Varför visas inte fullständiga URL-länkar för destinationswebbplatser?

Finns det någon provversion av Firewall Analyzer tillgänglig för utvärdering?

Ja, du kan hämta en 30-dagars provversion här. Provversionen har fullständig funktionalitet under 30 dagar. Därefter kan du inte starta om Firewall Analyzer-servern.

Har provversionen några begränsningar?

Provversionen är en fullständigt funktionell version av Firewall Analyzer. När provperioden löper ut kan du inte längre starta om servern.

Måste jag återinstallera Firewall Analyzer när jag går över till en betald version?

Nej, du behöver inte ominstallera eller stänga av servern. Du behöver bara ange den nya licensfilen i rutan Uppgradera licens.

Vilka andra enheter kan generera rapporter om?

Förutom att den rapporterar om de flesta företagsbrandväggarna, så kan Firewall Analyzer även analysera loggar och generera specifika rapporter om Squid Proxy-servrar och Radius-servrar.

Jag har inte någon brandvägg, proxyserver eller Radius-server. Kan jag fortfarande använda produkten?

Du kan fortfarande använda Firewall Analyzer för att simulera brandväggsloggar och se hur rapporter ser ut när realtidsdata används. Klicka på länken Simulera på fliken Inställnngar för att börja skicka exempelloggfiler till Firewall Analyzer.

Hur många användare kan få samtidig åtkomst till programmet?

Detta beror på kapaciteten hos servern som Firewall Analyzer är installerad på. Firewall Analyzer-licensen begränsar aldrig antalet användare som har åtkomst till programmet.

Hur säker är data som skickas till webbläsaren över Internet?

Data som skickas från Firewall Analyzer är normalt inte krypterade och kan därför läsas.

Firewall Analyzer körs i en webbläsare. Innebär det att jag kan få åtkomst till det varifrån som helst?

Ja. Så länge webbläsaren har åtkomst till servern som Firewall Analyzer körs på kan du arbeta med Firewall Analyzer varifrån som helst. 

Hur köper jag det Firewall Analyzer?

Du kan köpa Firewall Analyzer direkt via Manageengines onlinebutik eller från en återförsäljare nära dig.

Finns det någon begränsning på hur många användare eller webbplatser jag kan övervaka?

Det finns ingen licensbegränsning på antalet användare eller webbplatser som du kan övervaka. Du kan däremot stötat på prestandaproblem om du använder datorer med låg kapacitet för att köra Firewall Analyzer. 

Vilka är de rekommenderade systemkraven för Firewall Analyzer?

Du rekommenderas att installera Firewall Analyzer en dator med följande konfiguration:
* Processor - Pentium 4 - 1GHz
* Hårddiskutrymme - 1 GB
* RAM - 512MB
* Operativsystem - Windows 2000/XP, Linux 8.0/9.0
* Webbläsare - Internet Explorer 6.0 eller Mozilla Firefox 1.0

Läs Systemkrav för att ta reda på nödvändiga minimikrav på konfigurationen för att kunna installera och köra Firewall Analyzer.

Utför installationen av Firewall Analyzer några ändringar på serverkonfigurationen för brandväggen?

Installationen av Firewall Analyzer utför inga ändringar på konfigurationen för brandväggsservern.

Kan jag installera Firewall Analyzer som root-användare?

Firewall Analyzer kan startas som root-användare, men alla filtillstånd kommer att ändras och senare kommer du inte att kunna starta servern som en annan användare.

När jag försöker komma åt webbklienten, så visas en annan webbserver. Hur är detta möjligt?

Webbserverporten som du valde vid installationen kanske används av ett annat program. Konfigurera det programmet till att använda en annan port eller ändra Firewall Analyzer webbserverport. 

Är det nödvändigt att säkerhetskopiera databasen eller tar Firewall Analyzer hand om detta?

Arkiveringsfunktionen i Firewall Analyzer lagrar automatiskt alla mottagna loggar som zip-filer. Du kan konfigurera arkiveringsinställningarna för att passa företagets behov. Utöver detta, om du behöver säkerhetskopiera databasen som innehåller bearbetade data från brandväggsloggar, kan du köra säkerhetskopieringsverktyget för databasen BackupDB.bat/.sh som finns i <FirewallAnalyzer_Home>/troubleshooting-katalogen.

Hur konfigurerar jag Firewall Analyzer som en tjänst i Linux efter installation?

Normalt installeras Firewall Analyzer som en tjänst. Om du har installerat det som ett program och inte som en tjänst, kan du konfigurera den som en tjänst vid ett senare tillfälle. Procedurerna för att konfigurerar som en tjänst, starta och stoppa tjänsten beskrivs nedan.

För att konfigurera Firewall Analyzer som en tjänst efter installation ska du utföra följande kommando.

<Firewall Analyzer Home>/bin sh configureAsService.sh -i

Hur kan jag visa sessionsinformation för alla användare som är registrerade för att logga in på Firewall Analyzer?

Du får tillgång till sessionsinformationen för varje användare via sidan Användarhantering. Klicka på länken Visa under inloggningsdetaljerna för respektive användare för att visa den aktiva sessionsinformationen och sessionshistoriken för önskad användare.

Hur konfigurerar jag min brandvägg till att producera loggfiler i WELF?

Vanligtvis måste brandväggar konfigureras särskilt för att generera loggfiler i WELF. Avsnittet Konfigurera brandväggar inkluderar konfigureringsinstruktioner för några av de brandväggar som stöds av Firewall Analyzer.

Min brandvägg kan inte exportera loggar. Hur konfigurerar jag Firewall Analyzer till att rapportera om min brandvägg?

Du kan ställa in Firewall Analyzer till att importera loggarna från brandväggen med regelbundna intervaller.

Lagrar Firewall Analyzer raw-loggar?

Raw-loggar arkiveras med jämna mellanrum och lagras som zip-filer. Du kan när som helst läsa in dessa arkiverade filer i Firewall Analyzer och generera rapporter baserat på dem.

Hur tilldelar jag icke-tilldelade protokoll till protokoll och protokollgrupper?

Protokoll i rapporter

Olika brandväggar anger portnumren i loggarna på olika sätt. Exempelvis kan http:80 visas som tcp:80, http:80, etc. Därför är protokollidentifierarna grupperade som Protokoll och därefter Protokollgrupper. Vi kom fram till att rapporterna som använder protokoll är mycket mer användbara än rapporterna som baseras på portnummer. Därför visar vi protokollerna i rapporterna. Om alla icke-tilldelade protokoll tilldelas Protokoll och Protokollgrupper, så skulle det inte finnas något problem med okända protokoll.

Tilldela icke-tilldelade protokoll

Det kommer att finnas en del icke-tilldelade protokoll när några protokoll inte har grupperats.

Du kan visa portdetaljerna för de icke-tilldelade protokollen:

1. Klicka på frågetecknet intill den icke-tilldelade protokollgruppen under Trafikstatistik på fliken Hem.
2. I popup-fönstret väljer du De senaste sex timmarna.
3. Därefter visas samtliga icke-tilldelade protokoll tillsammans med portnummer.

Vi har konfigurerat de vanligaste protokollen som grupper, såsom E-post, Webb, FTP, Telnet etc. Du kan även gruppera okända protokoll enligt önskemål. Konfigurera icke-tilldelade protokoll är något du bara behöver göra en gång.

1. Klicka på Icke-tilldelade i Protokollgrupp under Trafikstatistik, här visas alla okända protokoll.
2. Klicka på Tilldela och välj alternativet Alla under Träffar och markera Välj flera, där ser du samtliga icke-tilldelade protokoll.
3. Markera protokollet och gruppera det under Protokollgrupp och tilldela det tillämpliga protokollet.
4. Om du inte hittar någon Protokollgrupp kan du klicka på +-tecknet för att lägga till en ny Protokollgrupp.

Obs! När du har tilldelat protokollen kommer rapporterna att visa de tilldelade protokollen och de nyligen tilldelade protokollen under deras respektive protokollgrupp endast från och med tidpunkten för tilldelningen. De icke-tilldelade protokollen kan du se i rapporterna som genererades innan tidpunkten för tilldelningen.

Om du upplever att rapporterna som baseras på portarna är otillräckliga ska du tilldela specifika protokoll till motsvarande portnummer och sedan skapa en anpassad rapport för att visa detaljerna.

Kontrollera portnummer

1. Kontrollera portnumret genom att klicka på Inställningar > Protokollgrupper > Klicka på Visa per grupp i rullgardinsmenyn och markera det önskade protokollet. Detta visar protokollidentifierarna med portnummer.
2. Du kan även kontrollera raw-loggen i mappen <Firewall Analyzer Home>\server\default\archive\<DNS(or)IP address\Hot> för att ta reda på protpkolltypen och portnummer (du kan öppna filen med notepad).

Varför visas endast tom grafik?

Grafiken är tom om inga data finns tillgängliga. Om du startar servern för första gången ska du vänta cirka en minut för att ge grafiken tid att populeras.

Vilka typer av rapporter kan jag generera?

Rapporter kan genereras i HTML-, CSV- och PDF-format. Vanligtvis visas alla rapporter som HTML i webbläsaren och exporteras därefter till CSV- eller PDF-format. Rapporter som dock schemalagts för att köras, eller e-postas, automatiskt genereras endast som PDF-filer.

Tilldelas IP-adresser automatiskt?

IP-adresser tilldelas automatiskt genom anslutning till nätverkets DNS-server.

Varför visas vissa trafikvärden som 0,0MB eller 0,00 %?

Eftersom Firewall Analyzer bearbetar loggfiler när de mottas, kan detta medför att trtafikvärden om 0,0 MB eller 0,0 % visas till en början när trafikmängden är mindre än 10 KB. I sådana fall ska du vänta till fler data tas emot för att populera rapporttabellerna.

Vilka olika format kan rapporter exporteras till?

Rapporterna kan exporteras till PDF- eller CSV-format. Däremot kan rapporter e-postas endast som PDF-filer.

Varför visar intranätsrapporterna inga resultat?

Kontrollera att intranätet har konfigurerats korrekt. Om du har angett specifika IP-adresser som inte befinner sig bakom brandväggen, så kommer nollvärden att visas i rapporterna.

Varför räknar inte trendrapporteerna med tidvärden eller top-n-värden?

Trendrapporter visar historiska data för motsvarande trafikstatistik som visas i rapporten. På grund av detta påverkas inte rapporterna av tidsändringar i den globala kalendern eller ändringar för top-n-värden från panelen Visa på rapporten.

Varför är rapporten Icke-använda regler tom?

För att visa rapporterna för icke-använda regler måste du konfigurera Firewall Analyzer för att hämta regler från enheten via Telnet eller SSH. Efter denna konfigurering kommer rapporterna att vara tillgängliga. Denna avancerade funktion är dock endast tillgänglig för användare av Firewall Analyzer med Premium-licens. 

CheckPoint-brandväggsrapporter

Varför visar alla trafikrapporter bytevärden som noll?

Kontroller att du har ställt in spårningsvärdet för dina regler till Konto på din CheckPoint-hanteringsstation. Du kan använda Check Point Smart-konsolen till att göra detsamma. Du kan ställa in spårningsvärdet på Konto för de regler som kontrollerar trafiken via dina brandväggar.

Varför får jag inga VPN-rapporter för CheckPoint-brandväggen?

Firewall Analyzer söker efter antingen vpn_user- eller peer gateway-attribut i de loggar som kommer från dina CheckPoint-brandväggar för att generera VPN-rapporterna.

Här visas en exempellogg:

id=leafirewall time="23Oct2006 9:49:30" action="encrypt" orig="testing" i/f_dir="inbound" i/f_name="eth-s4p1 c0" has_accounting="1" product="& VPN-1 & FireWall-1" __policy_id_tag="& product=VPN-1 & FireWall-1[db_tag={C59340B0 -6276-11DB-B086-00000000C2C2};mgmt=testing;date=1161594819;policy_name=RKR_Policy]" src="xxx.xxx.xxx.xxx" s_port=" 40555" dst="xxx.xxx.xxx.xxx" service="https" proto="tcp" rule="15" scheme:="IKE" dstkeyid="0x31b52e56" methods:="ES P: AES-256 + SHA1" peer gateway="mygateway" community="SECU" start_time="23Oct2006 9:49:30" segment_time="23Oct 2006 9:49:30" elapsed="0:00:09" packets="3" bytes="180" client_inbound_packets="3" client_outbound_packets="0 " server_inbound_packets="0" server_outbound_packets="3" client_inbound_bytes="180" client_outbound_bytes="0" server_inbound_bytes="0" server_outbound_bytes="360" client_inbound_interface="eth-s4p1c0" server_outbound_inter face="eth-s3p1c0" __pos="7" __nsons="0" __p_dport="Unknown"

Samtliga mottagna loggar lagras i katalogen Firewall_Analyzer_Home\server\default\archive\. Du kan bläddra genom dessa loggar för att felsöka problemet.

Om du hittar VPN-relaterade loggar i andra fält kan du skicka exempelloggarna till oss genom att läsa in dem via följande länk: http://bonitas.zohocorp.com/upload/index.jsp?to=fwanalyzer-support@manageengine.com

Varför får jag inga angreppsrapporter för CheckPoint-brandväggen?

Firewall Analyzer söker efter attributet attack i CheckPoints brandväggsloggar för att generera angreppsrapporterna.

Firewall Analyzer visar destinationsplatsen (exempel: www.yahoo.com) men visar inte den fullständiga URL-länken (exempel: www.yahoo.com/index.html)?

Det söker efter attributet resurs i loggen.

Här visas en exempellogg:

id=leafirewall time="16Aug2006 7:43:56" action="accept" orig="AHFW_1" i/f_dir="outbound" i/f_name="eth0" has _accounting="1" product="& VPN-1 & FireWall-1" __policy_id_tag="& product=VPN-1 & FireWall-1[db_tag={55E82635-247B-44 B7-9E29-42EDE0F57E2C};mgmt=FW_MGMT;date=1155671079;policy_name=N2H2_Filtered]" rule="22" rule_uid="{5A131CD7-BCBA -4859-AB39-43594A24931A}" rule_name="HTTP Outbound" service_id="http" src="xxx.xxx.xxx.xxx" s_port="2624" dst="xxx.xxx.xxx.xxx" service="http" proto="tcp" xlatesrc="xxx.xxx.xxx.xxx" xlatesport="57700" xlatedport="Unknown" NAT _rulenum="94" NAT_addtnl_rulenum="internal" resource="http://www.yahoo.com/index.html" start_time="16Aug2006 7:43:56" segment_time="16Aug2006 7:43:56" elapsed="0:00:00" packets="11" b ytes="1161" client_inbound_packets="6" client_outbound_packets="5" server_inbound_packets="5" server_outbound_p ackets="6" client_inbound_bytes="753" client_outbound_bytes="408" server_inbound_bytes="408" server_outbound_by tes="753" client_inbound_interface="eth0" client_outbound_interface="eth0" server_inbound_interface="eth1" serv er_outbound_interface="eth1" __pos="7" __nsons="0"

Varför visas inga resultat för överförda kilobyte i rapporterna för CheckPoint-brandväggen?

Detta kan ske om bandbreddsinformationen inte samlas in i loggfilen. Säkerställ att din CheckPoint-brandvägg har konfigurerats till att generera både vanliga och redovisningloggfiler. Medan vanliga loggfiler innehåller information om brandväggsaktivitet, så innehåller redovisningsloggfilen bandbredden och sessionsinformationen. Läs avsnittet Konfigurera Check Point-brandväggar för hjälp att skapa redovisningsloggfilen.

Varför visas endast Okända händelser i grafiken för Händelseöversikt på kontrollpanelen?

CheckPoint-brandväggsloggar har inte prioritets- eller svårighetsfälten. Grafikens händelseöversikt grupperar händelser baserat på svårighetsgraden. Eftersom det inte finns någon svårighetsgrad i checkpointloggar skriver Firewall Analyzer standardvärden som Okänd svårighetsgrad och därför visar händelseöversikten endast okända händelser. Om du expanderar den gruppen eller klickar på länken Mer, så visas händelserna fullt ut.

Cisco PIX-brandväggsrapporter

Varför ser jag inte trafikrapporterna i Cisco-brandväggarna?

1. På Cisco PIX-kommandoraden ska du utföra kommandot show logging och kontrollera värdet för trap-loggningen.
2. Trap-loggningen bör vara inställd på informerande för att trafikloggar ska kunna genereras från Cisco PIX-brandväggar. Utför kommandot logging trap informational för att ställa in trap-loggningen på informerande.
3. Säkerställ att inga loggar är avaktiverade i Cisco PIX genom att utföra kommandot show logging disabled
4. Vanligtvis hanteras trafiken av loggar med ID 302013, 302014, 302015 och 302016. Säkerställ att dessa ID:n inte är avaktiverade i din Cisco-brandvägg. Om de är avaktiverade kan du aktivera dem genom att utföra kommandot logging message.

Varför får jag inga VPN-rapporter för Cisco-brandväggar?

Vi kan ställa in två typer av VPN:er i Cisco-brandväggar, såsom visas nedan.

1. Fjärrvärds-VPN:
   Detta är mellan en användar-PC och Cisco-brandväggen. Användar-PC:n kan finnas var som helst på Internet. Det finns olika tekniker för att göra detta. Firewall Analyzer stöder följande typer:
   • IpSec:
     Firewall Analyzer stöder IpSec fjärrvärds-VPN i Cisco-brandväggar. Här följer de genererade exempelloggarna:
     
     Cisco PIX:
     20_12_2005_09_00_20:<166>Dec 20 2005 09:52:14: %PIX-6-109005: Authentication succeeded for user 'john' from xxx.xxx.xxx.xxx/0 to xxx.xxx.xxx.xxx/0 on interface outside
     
     20_12_2005_09_00_20:<166>Dec 20 2005 09:52:16: %PIX-6-602301: sa created, (sa) sa_dest= xxx.xxx.xxx.xxx, sa_prot= 50, sa_spi= 0x1e01c9b1(503433649), sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 46
     
     20_12_2005_09_00_20:<166>Dec 20 2005 09:52:16: %PIX-6-602301: sa created, (sa) sa_dest= xxx.xxx.xxx.xxx, sa_prot= 50, sa_spi= 0x94e99fdc(2498338780),V sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 45
     
     20_12_2005_09_00_20:<166>Dec 20 2005 09:55:24: %PIX-6-602302: deleting SA, (sa) sa_dest= xxx.xxx.xxx.xxx, sa_prot= 50, sa_spi= 0x1e01c9b1(503433649), sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 46
     
     20_12_2005_09_00_20:<166>Dec 20 2005 09:55:24: %PIX-6-602302: deleting SA, (sa) sa_dest= xxx.xxx.xxx.xxx, sa_prot= 50, sa_spi= 0x94e99fdc(2498338780), sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 45
     
     Cisco ASA:
     <166>:Apr 10 15:26:51 CDT: %PIX-vpn-6-602303: IPSEC: An inbound remote access SA (SPI= 0x2C4009CD) between xxx.xxx.xxx.xxx and xxx.xxx.xxx.xxx (user= ARNOLD) has been created
     
     <166>:Apr 10 22:13:21 CDT: %PIX-vpn-6-602304: IPSEC: An inbound remote access SA (SPI= 0xA57F6150) between xxx.xxx.xxx.xxx and xxx.xxx.xxx.xxx (user= ARNOLD) has been deleted
     
     <164>:Apr 10 20:13:23 CDT: %PIX-auth-4-113019: Group = TUMBUVPN, Username = ARNOLD, IP = xxx.xxx.xxx.xxx, Session disconnected. Sessionstyp: IPSecOverUDP?, Duration: 4h:46m:39s, Bytes xmt: 1270639, Bytes rcv: 4292608, Reason: User Requested
   
   
   
   • PPTP:
     Firewall Analyzer stöder PPTP VPN mellan Cisco-brandväggar och användar-PC:n. Här följer de genererade exempelloggarna:
     
     <133>Oct 20 2005 20:57:10: %PIX-6-603108: Built PPTP Tunnel at inside,tunnel-id = 25, remote-peer =xxx.xxx.xxx.xxx, virtual-interface = 1,client-dynamic-ip = xxx.xxx.xxx.xxx, username = king,MPPE-key-strength = number
     
     <134>Oct 20 2005 20:58:01: %PIX-6-603109: Teardown PPPOE Tunnel at interface_name, tunnel-id = 25,remote-peer = xxx.xxx.xxx.xxx
     
     <134>Oct 20 2005 20:53:21: %PIX-6-603104: PPTP Tunnel created, tunnel_id is 26, remote_peer_ip is xxx.xxx.xxx.xxx, ppp_virtual_interface_id is 2,client_dynamic_ip is xxx.xxx.xxx.xxx, username is king, MPPE_key_strength is None
     
     <134>Oct 20 2005 20:58:01: %PIX-6-603105: PPTP Tunnel deleted, tunnel_id = 26, remote_peer_ip = xxx.xxx.xxx.xxx
   
   
   
2. Site-To-Site VPN:

Den här VPN-anslutningen etableras mellan två brandväggar. I de flesta fall finns den här anslutningen redan på plats innan Firewall Analyzer-installationen. Inte heller Cisco-brandväggar uppmärksammar trafiken som flödar via den här Site To Site VPN-tunneln i loggarna. Detta innebär att Firewall Analyzer för tillfället inte stöder den här typen av VPN-anslutningar.

Varför visar min angreppsrapport meddelandet Inga data tillgängliga?

Cisco-brandväggar har inbyggt IDS (Intrusion Detection Systems), som upptäcker angreppet. Firewall Analyzer stöder samtliga angreppsloggar i Cisco-brandväggsenheter. AllSamtliga angrepp identifieras med Cisco-ID:n (400000 till 400050). Förutom dessa loggar identifierar Firewall Analyzer även support-ID:n som 106016, 106017 etc. Detta innebär att om din angreppsrapport är tom, så har du med största sannolikhet inte blivit utsatt för några angrepp. För att verifiera detta kan du gå till Firewall_Analyzer_Home\server\default\archive\ och söka efter ovanstående ID:n.

Varför populeras aldrig min virusrapport?

I Cisco-brandväggar identifieras alla misstänkta aktiviteter som angrepp och därför kommer alla dessa att visas i angreppsrapporten. Cisco-brandväggar har Inga virus-loggar och därför finns det inga virusrapporter. Du kan säkert ta bort listorna för virusrapporter via rapportanpassningen.

Varför visar min administrationsrapport meddelandet Inga data tillgängliga?

Firewall Analyzer rapporterar inloggnings- och utloggningsförsök genom att söka igenom Cisco-brandväggsloggarna efter meddelande-ID:n som 611101,611102, 611103, 605004 och 605005. Ta en titt på loggarna som finns tillgängliga i katalogen Firewall_Analyzer_Home\server\default\archive\ om du stöter på några diskrepanser.

NetScreen-brandväggsrapporter (Syslog)

Jag får inga trafikrapporter. Varför visas alla värden för SKICKAT och MOTTAGET som noll?

1. Säkerställ att du har aktiverat trafikloggar i din Netscreen.
2. I vissa versioner av NetScreen-brandväggar finns ett alternativ för att logga den fullständiga transaktionen, medan det andra alternativet är att logga den initierade transaktionen. Vi rekommenderar att du väljer alternativet för den fullständiga transaktionen och avmarkerar alternativet för den initierade transaktionen. Detta eftersom du endast kan få värdena SKICKAD och MOTTAGEN när en transaktion har slutförts. Du kommer att hitta den här kryssrutan när du redigerar regeln.
3. Kontrollera att du har aktiverat alla loggningsnivåer ända upp till informerande. Detta för att loggning på den informerande nivån inkluderar trafikinformation

Varför populeras inte VPN-rapporterna för mina NetScreen-brandväggar?

Firewall Analyzer söker efter action=Tunnel-attribut i NetScreen-brandväggsloggar för att generera VPN-rapporter.

Varför får jag inga virusrapporter för NetScreen-brandväggar?

Firewall Analyzer söker efter attributet Virus i NetScreen-brandväggsloggar för att generera virusrapporter. Ta en titt på loggfilerna som finns tillgängliga under katalogen Firewall_Analyzer_Home/server/default/archive/ om du stöter på någon diskrepans.

Andra brandväggsrapporter (Sonicwall, Fortigate och alla andra brandväggar som stöder WELF)

Varför visar mina rapporter meddelandet Inga data tillgängliga?

Detta innebär att Firewall Analyzer har upptäckt din brandvägg och känner igen loggarna. När du loggar in visar Firewall Analyzer som standard data från den innevarande dagen per 00:00:00 h till aktuell tid för datorn som du kör Firewall Analyzer på. Det är möjligt att brandväggsloggens tidsstämpel skiljer sig från Firewall Analyzers tidsstämpel. Så kontrollera bara Firewall_Analyzer_Home/server/default/archive/ -katalogen för att visa tidsstämplarna för brandväggsloggarna.

Varför får jag inga trafikrapporter?

Kontrollera att du har aktiverat trafikloggarna och ställt in loggningsnivån på informerande. Detta för att de flesta brandväggarna genererar trafikloggar endast då loggningsnivån är inställd på informerande.

Varför visar inte VPN-rapporterna för min brandvägg några data?

Firewall Analyzer söker efter attribut som vpn= eller vpnpolicy= för att generera VPN-rapporter. Därför ska du verifiera huruvida dina brandväggsloggar har dessa attribut.

Varför populeras inte virusrapporten för min brandvägg?

Firewall Analyzer söker efter attribut som virus= för att generera virusrapporterna. Exempelloggar visas nedan.

id=firewall time="2005-06-13 20:48:37" fw=FGT4002803033009 pri=5 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx src_int=n/a dst_int=n/a service=http status=passthrough from="n/a" to="n/a" file=trace.exe virus="Suspicious" msg="& The file trace.exe is infected with Suspicious.
ref http://www.fortinet.com/VirusEncyclopedia/search/
encyclopediaSearch.do?method=quickSearchDirectly&virusName=Suspicious.";

Varför populeras inte angreppsrapporten för min brandvägg?

Firewall Analyzer söker efter attribut som attack= eller attack_id= för att generera angreppsrapporterna. Exempelloggar visas nedan.

17_08_2005_16_54_03:id=firewall time="2005-08-18 00:59:03" fw=FGT4002803033026 pri=1 attack_id=101974095 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx
src_port=110 dst_port=58714 src_int=n/a dst_int=n/a status=detected proto=6
service=58714/tcp msg="misc: MS.Outlook.GMT.BufferOverflow,repeated 2 times[Reference: http://www.fortinet.com/ids/ID101974095]";

Varför visas inte fullständiga URL-länkar för destinationswebbplatser?

Firewall Analyzer kombinerar värden för fält som dst/dstname och arg för att skapa den fullständiga URL-länken. Kontrollera om din brandvägg genererar samma i loggfilerna som finns tillgängliga i katalogen Firewall_Analyzer_Home/server/default/archive/. Exempelloggar visas nedan.

1902-01-16 08:52:47 Local0.Info 192.168.14.3 "id=firewall sn=0006B10C5210
time="2006-01-06 15:53:30 UTC" fw=myfirwall pri=6 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx proto=tcp/http
op=GET sent=1533 rcvd=512 result=200 dstname=c.microsoft.com arg=/trans_pixel.asp?
source=msdn&TYPE=PV&p=library_en-us_cpguide_html&URI=%2flibrary%2ft