Utilização Avançada Relatório com UserAuth

Os filtros do Firewall Logs são feitos com base no comando GREP, permitindo filtrar os principais campos, tais como:

  • Date: Possível pesquisa por data/hora do registro.

  • Iface: Interface de onde se originou o registro.

  • Action: Opção se regra está permitindo ou bloqueando, sendo possível as pesquisas por: pass, block ou blocked.

  • Protocol: Qual protocolo está sendo usado, possível pesquisar por: TCP, UDP, DNS, ICMP, IGMP...

  • Source: De onde se origina a conexão, possível pesquisa pelo IP (IPv4 ou IPv6) do usuário ou o nome do próprio usuário.

  • Destination: Para onde está indo a conexão, possível pesquisar pelo IP (IPv4 ou IPv6) ou o FQDN do site visitado.

  • Source/Destination Port: Portas usadas para conexão.

  • Description: Descrição da regra quando é criada.

  • OBS: Para pesquisa não é necessário mencionar qual o nome do campo, pode ser apenas mencionado o que será pesquisado.

Exemplo:

Para pesquisa de usuário, podemos apenas informar o nome do usuário.

Ederson

Como o comando grep é uma forma de pesquisa para “contendo” a informação, para pesquisas mais específicas é necessário adicionar “,”.

Vamos pesquisar pela porta:

53,

O asterisco (.*) no comando grep é usado como um curinga para representar zero ou mais caracteres. Quando você utiliza o asterisco em uma expressão de pesquisa, o grep irá encontrar todas as ocorrências que correspondam à parte da expressão que está antes do asterisco, seguida por zero ou mais caracteres que correspondam à parte da expressão que está depois do asterisco. Por exemplo, ao pesquisar por hora, ação e usuário, você pode usar o seguinte padrão:

    14:10.*pass.*ederson

Ou seja:

    Hora.*ação.*usuário

Atualizado