Rejestrowanie pakietów

Dziennik pakietów zawiera informacje o ruchu sieciowym. Ponieważ informacje te są bardzo szczegółowe, dziennik pakietów jest domyślnie wyłączony. W razie podejrzenia szkodliwej aktywności sieciowej należy kliknąć przycisk Rozpocznij rejestrowanie, aby włączyć rejestrowanie pakietów. Rejestrowanie jest automatycznie zatrzymywane po upływie określonego czasu lub po osiągnięciu maksymalnego rozmiaru przez plik dziennika. Aby zatrzymać rejestrowanie ręcznie, należy kliknąć przycisk Zatrzymaj rejestrowanie.

Dzienniki pakietów są zapisywane w dziesięciu różnych plikach, tak aby można było wyświetlać wcześniejsze dzienniki w czasie tworzenia nowego dziennika. Pliki dziennika używają formatu binarnego zgodnego z formatem programu tcpdump i mogą być wyświetlane w podglądzie dziennika pakietów albo za pomocą standardowych aplikacji rejestrujących pakiety.

Funkcja rejestrowania pakietów rejestruje wszystkie typy ruchu sieciowego, w tym protokoły wymagane do obsługi sieci LAN, na przykład informacje o routingu, rozpoznawanie adresów sprzętowych i inne. Zarejestrowany w dzienniku ruch tego rodzaju zwykle nie jest przydatny, dlatego wbudowany podgląd dziennika pakietów domyślnie nie wyświetla tych informacji. Aby je wyświetlić, należy wyczyścić pole wyboru Rejestruj tylko pakiety IP.

Dziennik czynności

W dzienniku czynności są nieprzerwanie gromadzone dane dotyczące czynności wykonywanych przez funkcję Osłona internetowa. Dziennik czynności jest zwykłym plikiem tekstowym o maksymalnym rozmiarze 10 MB. Plik ten może być wyświetlany za pomocą dowolnego edytora tekstów umożliwiającego otwieranie dużych plików. Plik dziennika czynności można w każdej chwili wyczyścić lub usunąć, więc można łatwo rozpocząć rejestrowanie czynności w nowym pliku, jeśli plik stanie się zbyt duży. Ścieżka pliku dziennika czynności jest wyświetlana na karcie Rejestrowanie.

Praktyczne przykłady interpretowania dziennika czynności:

Zmiana zasad zapory, na przykład zmiana poziomu zabezpieczeń:

02-11-16 15:48:01,powodzenie,ogólne,demon,Plik zasad został ponownie załadowany.

Otwarcie połączenia lokalnego (przychodzącego lub wychodzącego):
1
2
3
4
5
6
7
8
9
10
11/15/02
16:54:41
informacja
kontrola aplikacji
C:\WINNT\system32\services.exe
zezwalaj
wysłanie
17
10.128.128.14
137

Plik dziennika zawiera następujące pola:

1. Data
2. Godzina
3. Typ
4. Przyczyna wewnętrzna
5. Nazwa aplikacji
6. Czynność funkcji Kontrola aplikacji
7. Czynność sieciowa
8. Protokół
9. Zdalny adres IP
10. Port zdalny

Odbieranie połączenia

Aplikacja, która otworzyła połączenie typu LISTEN (nasłuchiwanie), pełni funkcję serwera, a zdalne komputery mogą nawiązywać połączenie z portem, dla którego zostało otwarte połączenie. Połączenia te są również rejestrowane w dzienniku czynności.

1
2
3
4
5
6
7
8
9
10
11/15/02
16:48:00
informacja
kontrola aplikacji
nieznana
zezwalaj
odebranie
17
10.128.129.146
138

Plik dziennika zawiera następujące pola:

1. Data
2. Godzina
3. Typ
4. Przyczyna wewnętrzna
5. Nazwa aplikacji
6. Czynność funkcji Kontrola aplikacji
7. Czynność sieciowa
8. Protokół
9. Zdalny adres IP
10. Port zdalny

Wpis reguły dynamicznej

Jeśli aplikacja usiłuje otworzyć połączenie nasłuchujące, na które użytkownik zezwolił, połączenie może zostać zablokowane przez statyczne reguły zapory. Z tego względu używana jest reguła dynamiczna, która zezwala na połączenie przychodzące. Reguła ta jest używana tylko na czas trwania danego połączenia i tylko dla tej aplikacji.

1
2
3
4
5
6
7
8
9
10
11
12
11/15/02
16:47:59
informacja
reguła dynamiczna
dodano
0.0.0.0
255.255.255.0
0
65535
371
371
zezwalaj
11/15/02
16:48:23
informacja
reguła dynamiczna
usunięto
0.0.0.0
255.255.255.0
0
65535
371
371
zezwalaj

Plik dziennika zawiera następujące pola:

1. Data
2. Godzina
3. Typ alertu
4. Typ reguły
5. Wykonana czynność
6. Dolna granica zakresu zdalnych adresów IP
7. Górna granica zakresu zdalnych adresów IP
8. Dolna granica zakresu portów zdalnych
9. Górna granica zakresu portów zdalnych
10. Dolna granica zakresu portów lokalnych
11. Górna granica zakresu portów lokalnych
12. Czynność reguły (zezwalaj/nie zezwalaj)


F-Secure Corporation
www.F-Secure.com
Product Support