Wie funktioniert die Log Link-Funktion?

Die Log-Link-Funktion bietet Links von Log-Daten zu externen Systemen (z.b. Trouble-Ticketing, PCAP-Sammlungs Systeme, Sicherheits-Scannen usw.). Die Links erscheinen am unteren Ende der Log-Detail-Seite im Log-Viewer, und Sie öffnen die konstruierte URL in einem neuen Browser-Fenster.

Informationen über das Protokoll, das für den Aufbau der Link-URL zur Verfügung steht:

• src-Quelle IP-Adresse
• DST-Destination IP-Adresse
• Sport-Source-Port
• dport-Destination Port
• Proto-Protokoll
• recvtime_YYYY-Jahr der Empfangszeit
• recvtime_MM-Monat der Empfangszeit
• recvtime_DD-Tag der Empfangszeit
• recvtime_hh-Stunde der Empfangszeit
• recvtime_mm-Minute der Empfangszeit
• recvtime_ss-Sekunde der Empfangszeit
• abgelaufene-Vergehen-Zeit (Sitzungszeit in Sekunden. nur für das Verkehrsprotokoll verfügbar, "" sonst)
• Richtung-Client-to-Server oder Server-to-Client (verfügbar für Bedrohung, Datenfilterung und URL-Log only, "" sonst)
• suser-Source User
• Duser-Ziel-User
• szone-Quell Zone
• dzone-Zielzone
• Eindringen-Eindringen-Schnittstelle
• Egress-Egress-Schnittstelle

Um die Log-Link-Funktion zu aktivieren, verwenden Sie die folgenden CLI-Befehle:

# Set DeviceConfig System Log-Link VirusTotal. src URL https://www.virustotal.com/en/IP-Address/{src}/Information

# Set DeviceConfig System Log-Link VirusTotal. DST URL https://www.virustotal.com/en/IP-Address/{DST}/Information

Beispiel URL: https://www.virustotal.com/en/IP-Address/91.220.163.35/Information/

Das Ausführen der obigen Befehle mit dem Beispiel URL erzeugt 2 log-Links zu VirusTotal im Log-Details-Fenster (eines für die Quelle-IP und eines für die Ziel-IP):

Es können mehrere Links gesetzt werden, die alle am unteren Rand des Log-Detail Fensters angezeigt werden.

Hinweis: die Log-Link-Konfiguration wird nicht zwischen Geräte Paaren in einer hochverfügbaren (ha) Umgebung synchronisiert. Daher muss die Log-Link-Konfiguration sowohl auf aktiven als auch auf passiven Boxen manuell durchgeführt werden.