A csomagnapló igen részletes adatokat gyűjt a hálózati forgalomról, ezért alapértelmezés szerint ki van kapcsolva. Ha rosszindulatú hálózati tevékenységre gyanakszik, a Naplózás indítása gombra kattintva bekapcsolhatja a csomagnaplózást. A naplózás automatikusan leáll, ha a megadott időtartam letelik vagy a naplófájl eléri a maximális méretet. A naplózás manuális leállításához kattintson a Naplózás leállítása gombra.
A csomagnaplók tíz különböző fájlba kerülnek, így a korábbi naplók az új napló létrehozása közben is megtekinthetők. A napló formátuma bináris, és kompatibilis a tcpdump formátummal, így megtekinthető a csomagnapló-megjelenítővel és általános csomagnaplózási alkalmazással is.
A csomagnaplózó minden típusú hálózati forgalmat naplóz, beleértve a LAN által igényelt protokollokat is, mint például az útválasztási adatok, hardvercím-feloldás stb. Ezek az adatok általában szükségtelenek, ezért alapértelmezés szerint a beépített csomagnapló-megjelenítő nem jeleníti meg őket. Ha mégis látni szeretné ezeket az adatokat, törölje a Nem IP kiszűrése jelölőnégyzet jelölését.
A műveletnapló folyamatosan gyűjti az adatokat az Internetpajzs műveleteiről. A műveletnapló egy hagyományos, legfeljebb 10 MB méretű szövegfájl, és bármilyen szövegszerkesztő alkalmazással megjeleníthető, amely képes nagy méretű fájlok beolvasására. A műveletnaplófájl bármikor törölhető és eltávolítható, így könnyen új naplófájl kezdhető, ha a korábbi túl nagyra nő. A naplófájl elérési útja a Naplózás lapon látható.
Gyakorlati példák a műveletnapló olvasására:
11/16/02 15:48:01,success,general,daemon,Policy file has been reloaded.
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
---|---|---|---|---|---|---|---|---|---|
11/15/02
|
16:54:41
|
info
|
appl control
|
C:\WINNT\system32\services.exe
|
allow
|
send
|
17
|
10.128.128.14
|
137
|
A mezők a következők:
1. Dátum
2. Idő
3. Típus
4. Belső ok
|
5. Alkalmazás neve
6. Alkalmazásvezérlési művelet
7. Hálózati művelet
|
8. Protokoll
9. Távoli IP-cím
10. Távoli port
|
Ha az alkalmazás megnyit egy figyelő kapcsolatot, akkor kiszolgálóként működik, és a távoli számítógépek csatlakozhatnak a porthoz, amelyhez a kapcsolat megnyílt. A műveletnapló ezeket a csatlakozásokat is rögzíti.
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
---|---|---|---|---|---|---|---|---|---|
11/15/02
|
16:48:00
|
info
|
appl control
|
unknown
|
allow
|
receive
|
17
|
10.128.129.146
|
138
|
A mezők a következők:
1. Dátum
2. Idő
3. Típus
4. Belső ok
|
5. Alkalmazás neve
6. Alkalmazásvezérlési művelet
7. Hálózati művelet
|
8. Protokoll
9. Távoli IP-cím
10. Távoli port
|
Ha egy alkalmazás figyelő kapcsolatot próbál megnyitni, és a felhasználó engedélyezi azt, a statikus tűzfalszabályok meggátolhatják a kapcsolat létrejöttét. Ilyen esetben dinamikus szabály használatos a bejövő kapcsolat engedélyezésére a csatlakozás idejére, kizárólag az adott alkalmazás számára.
A mezők a következők:
F-Secure Corporation www.F-Secure.com Product Support |