iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 29
0
自我挑戰組

網管實務系列 第 29

DAY29-checkpoint查看log還有跟他說再見

DAY29-
今天已經是2016年參與的鐵人賽倒數第二天了~
今天會稍微喘口氣講接比較不複雜的東西。
前幾天我們都再介紹checkpoint的初始化/註冊/設定的部分
Checkpoint設定規則的時候,也會順到設定到後面這些地方
Service不用講,就是什麼服務。
Action 是否要放行服務(Accept放行 / DROP 阻擋)
Track 這些通過防火牆的資訊是否要記錄下來
(log紀錄 / Alert顯示警告 / 也可以不記錄)
TIME 就是什麼時後啟用這個規則。
http://ithelp.ithome.com.tw/upload/images/20161210/20103362vM9FDtuXpw.png
那有了紀錄log的地方,大家一定會想去看看,
要不然你的主管也會想看一下。
其實光是看log的動作,他也要用另外的專用軟體去進行
也是SmartTool那堆軟體之其一。


他有兩種開啟方法,
一個是直接選取它開啟 SmartView Tracker
http://ithelp.ithome.com.tw/upload/images/20161210/20103362uhNNKt3x81.png
或者也可以在Dashboard當中直接開啟 Tracker
會比較建議使用這個,開啟比較不會錯誤,也不用再輸入第二次密碼
http://ithelp.ithome.com.tw/upload/images/20161210/20103362axG5PHm6jY.png
開啟後可以看到很多紀錄的LOG ,在依照時間/項目去搜尋自己所需的資訊
甚至可以看到很多人的惡意行為 (! 是我特別在規則內調整的,它就是Alert)
這邊都會清清楚楚的幫忙列出來
眼尖的朋友可能會看到左邊有IPS的部分。
Checkpoint的確有IPS的功能,但是需要額外付費租用的
有興趣的朋友可以再去爬一下文章,這邊可能就先不介紹
http://ithelp.ithome.com.tw/upload/images/20161210/20103362JCHoUSmrZj.png
當然針對你想特別關注的log你也可以將其點開查看訊息。
http://ithelp.ithome.com.tw/upload/images/20161210/20103362Gqe2Sv5u9z.png
功能都很方便。
初始化的部份講了這麼久,那如果是接手人家的設備呢?
這邊就另外談一下把他初始化吧。

這邊其實很簡單,只要你將console線接好。
把Checkpoint服務重新打開,
因為checkpoint他是自己運行一套系統起來。
所以在開機時,Console端會跳出類似linux開機的選單
你可以選擇用什麼方式開啟這個設備。
或者將他還原程出廠設定。
這邊還可以看到他除了目前的版本外,還有像前一個版本在裡面。
其實CP真的是很好用的,除一開始的不方便外,後面習慣了就蠻人性化的。
http://ithelp.ithome.com.tw/upload/images/20161210/20103362HJ9XE1TGsM.png
好啦,隨著鐵人賽要進入尾聲,我們也跟Checkpoint的設定說聲再見吧。

明天將進入最後一站。


上一篇
DAY28-checkpoint設定
下一篇
DAY30 – 尾聲
系列文
網管實務30

2 則留言

0
Sergeyau
iT邦研究生 3 級 ‧ 2016-12-29 01:28:44

難得看到CHECKPOINT的分享,由於我是中途接管所以這些介紹很有幫助,謝謝。

兩點分享:

  1. 我會建議用SMARTLOG而不建議SMARTVIEW TRACKER,因為SMARTVIEW TRACKER有使用上的限制(2GB log file size)。SMARTLOG提供更方便的查詢選項,例如我可以查過去7天內IPS上所有源自於特定IP而且被阻擋的惡意行為紀錄。
  2. 給主管的部分建議用SMARTEVENT,介面簡潔。可以開SMARTEVENT每天監控,配合SMARTLOG做細部的搜查。
Joejo iT邦新手 5 級‧ 2016-12-30 00:35:28 檢舉

謝謝你的分享,對我來說真的幫助很大,因為我也常常為了要如何呈現給主管傷腦筋,明天就來玩玩看!!

Sergeyau iT邦研究生 3 級‧ 2016-12-31 01:28:58 檢舉

SmartEvent可做為SOC時刻監控,讓主管知道我們隨時掌握情況;如果是要呈現報表給主管, SmartReporter可以自動產生每周或每天的報告

0
Sergeyau
iT邦研究生 3 級 ‧ 2018-07-03 12:02:34

最近上完CCSA/CCSE R.80 的課程,對check point又增加了一些認識。
R.80 管理上更加便捷,推薦一試:)

我要留言

立即登入留言