我需要检查/控制许多 CheckPoint FW1 上的所有系统事件 - 不要误解 - 不是规则触发,而是管理员登录、规则更改等事件。
我发现我可以使用 2 种方法进行日志导出:
- 抓取日志
- 使用将检查点日志条目重定向到 syslog 的特殊脚本 ,FW1-Loggrabber
但我不清楚这些日志是否还包含我需要的信息(管理员登录、规则更改)?如果是,是否可以过滤事件?
我还假设,如果系统基于 *nix 平台,它必须是一种策略——使用系统的基于功能来做我想做的事。不幸的是,我不知道在哪里“挖掘”。可能你知道吗?
更新:新信息“FW-1 可以通过 Unix 的命令将其日志通过管道传输到 syslog logger,并且有第三方日志读取实用程序”
所以,主要问题是如何以最好的方式完成我的任务?有没有人已经解决了这样的问题?
PS 我是 CheckPoint 的新手,所以所有信息都会对我有用。谢谢你。
Checkpoint 有一个附加组件。
http://www.checkpoint.com/products/softwareblades/smartworkflow.html
我只知道我们在这里使用的一个非常酷的工具。
它被称为 Tufin SecureTrack: http ://tufin.com/products_securetrack.php
它非常好,可以对事件进行完整的过滤和捕获,您可以报告更改或管理员使用情况。它通过 OpSec Api 安全地从数据库读取输入。
该产品的最大缺点是它不是免费的 :) 但您可以测试大约 30 天。试试看。
否则,您可以从 OpSec Api 中寻找免费的东西——它是一个允许软件从检查点数据库读取和写入的 Api!
我没有好的免费产品,我可以给你推荐。但你可以环顾四周!
我希望这会对你有所帮助。