Pakketregistratie

In het pakketlogboek wordt zeer gedetailleerde informatie over het netwerkverkeer vastgelegd. Daarom is deze optie standaard uitgeschakeld. U kunt op Registratie starten klikken om de pakketregistratie in te schakelen wanneer u schadelijke netwerkactiviteiten vermoedt. De registratie wordt automatisch gestaakt nadat de ingestelde periode is verstreken of het logbestand de maximale omvang heeft bereikt. Klik op Registratie stoppen om de registratie handmatig te stoppen.

De pakketregistratie wordt verzameld in tien verschillende bestanden. U kunt dus een eerder bestand bekijken terwijl een nieuw logbestand wordt gegenereerd. De indeling van het logbestand is binair en is vergelijkbaar met de indeling van tcpdump. Het bestand kan worden gelezen met de pakketregistratieviewer of met een andere toepassing voor pakketregistratie.

Tijdens de pakketregistratie worden alle typen netwerkverkeer geregistreerd, inclusief de protocollen die nodig zijn voor uw lokale netwerk, zoals routinggegevens, hardware-adresomzetting enzovoort. Dit verkeer is meestal van weinig waarde in logboeken en wordt standaard niet weergegeven in de ingebouwde pakketregistratieviewer. Als u deze gegevens wilt zien, schakelt u het selectievakje Niet-IP uitfilteren uit.

Waarschuwingenlogboek

In het waarschuwingenlogboek worden doorlopend gegevens verzameld over de acties van Internet-shield. Het waarschuwingenlogboek is een standaardtekstbestand met een maximale omvang van 10 MB en kan worden bekeken met elke teksteditor waarmee grote bestanden kunnen worden gelezen. Het waarschuwingenlogboek kan op elk gewenst moment worden leeggemaakt en verwijderd. U kunt de handelingen dus eenvoudig in een nieuw bestand registreren als het bestand te groot wordt. Het pad naar het logbestand wordt vermeld op de pagina Logboekregistratie.

Praktische voorbeelden van het lezen van het waarschuwingenlogboek:

Wijziging van het firewallbeleid, bijvoorbeeld wijziging van het beveiligingsniveau:

11/16/02 15:48:01,geslaagd,algemeen,daemon,Beleidsbestand is opnieuw geladen.

Openen van een lokale verbinding, inkomend of uitgaand:
1
2
3
4
5
6
7
8
9
10
11/15/02
16:54:41
info
toepassingsbeheer
C:\WINNT\system32\services.exe
toestaan
zenden
17
10.128.128.14
137

De velden zijn:

1. Datum
2. Tijd
3. Type
4. Interne oorzaak
5. Naam van toepassing
6. Actie van Toepassingsbeheer
7. Netwerkactie
8. Protocol
9. Externe IP
10. Externe poort

Ontvangende verbinding

Als de toepassing een luisterverbinding heeft geopend, treedt deze op als server en kunnen externe computers een verbinding maken met de poort waarvoor de verbinding is geopend. Deze verbindingen worden eveneens vastgelegd in het waarschuwingenlogboek.

1
2
3
4
5
6
7
8
9
10
11/15/02
16:48:00
info
toepassingsbeheer
onbekend
toestaan
ontvangen
17
10.128.129.146
138

De velden zijn:

1. Datum
2. Tijd
3. Type
4. Interne oorzaak
5. Naam van toepassing
6. Actie van Toepassingsbeheer
7. Netwerkactie
8. Protocol
9. Externe IP
10. Externe poort

Dynamische regelvermelding

Als een toepassing een luisterverbinding wil openen die u toestaat, kunnen de statische firewallregels een verbinding in de weg staan. Daarom wordt voor het toestaan van deze inkomende verbinding een dynamische regel gebruikt die alleen geldt voor de duur van de verbinding en voor gebruik door deze toepassing.

1
2
3
4
5
6
7
8
9
10
11
12
11/15/02
16:47:59
info
dynamische regel
toegevoegd
0.0.0.0
255.255.255.0
0
65535
371
371
toestaan
11/15/02
16:48:23
info
dynamische regel
verwijderd
0.0.0.0
255.255.255.0
0
65535
371
371
toestaan

De velden zijn:

1. Datum
2. Tijd
3. Type waarschuwing
4. Type regel
5. Uitgevoerde actie
6. Extern IP-adresbereik - minimum
7. Extern IP-adresbereik - maximum
8. Externe poortbereik van
9. Externe poortbereik tot
10. Lokale poortbereik van
11. Lokale poortbereik tot
12. Actie regel (toestaan/weigeren)


F-Secure Corporation
www.F-Secure.com
Product Support