Мне нужно проверять / контролировать все системные события на многих CheckPoint FW1 - не поймите неправильно - не срабатывание правил, а события, такие как вход в систему администратора, изменение правил и т. Д.
Я обнаружил, что могу сделать экспорт журнала двумя способами:
Но мне непонятно, содержат ли такие журналы еще и нужную мне информацию (вход в систему, изменение правил)? И если да, можно ли фильтровать события?
Я также полагаю, что если система базируется на платформе * nix, это должна быть уловка - используйте основанные на системе функции, чтобы делать то, что я хочу. К сожалению, я не знаю, куда «копать». Может быть ты знаешь?
Обновлено: Новая информация "FW-1 может передавать свои логи в системный журнал через Unix logger команда, и есть сторонние утилиты для чтения журналов "
Итак, главный вопрос - как лучше всего выполнить мою задачу? Кто-нибудь уже решал такую проблему?
P.S. Я новичок в CheckPoint, поэтому вся информация будет мне полезна. Спасибо.
У Checkpoint есть надстройка для этого.
http://www.checkpoint.com/products/softwareblades/smartworkflow.html
Я просто знаю очень крутой инструмент, который мы здесь используем.
Это называется Tufin SecureTrack: http://tufin.com/products_securetrack.php
Это очень хорошо и обеспечивает полную фильтрацию и улавливание событий, и вы можете делать отчеты об изменениях или использовании администратора. Он безопасно считывает входные данные из базы данных через OpSec Api.
Большой минус продукта в том, что он не бесплатный :) Но тестировать можно около 30 дней. Попробуйте.
В противном случае вы можете найти что-то бесплатное, которое можно получить из OpSec Api - это Api, который позволяет программному обеспечению читать и писать из базы данных контрольной точки!
У меня нет хорошего бесплатного продукта, который я могу дать вам в качестве рекомендации. Но можно осмотреться!
Надеюсь, это вам немного поможет.