leo-le
Goto Top

Sophos UTM Logging

Hallo zusammen,

wenn ich z.B. Checkpoint und Sophos vom Logging gegenüberstelle, finde ich bisher das Logging von der UTM einfach nur grottig.
Vielleicht gehe ich damit aber auch einfach nur falsch um? Wo genau sehe ich, welcher VPN-User auf welche IP und Dienst zugreift?
Wie loggt Ihr mit der UTM ordentlich mit?
Kann das FW-Log mit Namen umgehen?
Gibt es bei der Logsuche der UTM die Möglichkeit mehrere Suchbegriffe anzugeben?
Was soll der LogFilter bewirken? ( FF IE und Chrome bringen keine Filterung zustande)


Vielen Dank für Eure Tipps!

Sophos UTM Appliance 9.5

Content-Key: 390333

Url: https://administrator.de/contentid/390333

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Ex0r2k16
Ex0r2k16 23.10.2018 um 12:02:01 Uhr
Goto Top
Zitat von @Leo-le:
Wo genau sehe ich, welcher VPN-User auf welche IP und Dienst zugreift?

Ich denke hier kommt es ein wenig auf die VPN Config an. Unter SSL-VPN sehe ich zumindest, was so beim Connect abgeht. Verbundene User irgendwo bei Remote Access samt aktueller IP. Mit dieser kannst ja wiederrum im Firewall Log nachgucken.

Wie loggt Ihr mit der UTM ordentlich mit?

Na mittels IP Filter
Kann das FW-Log mit Namen umgehen?
? Welches Log

Gibt es bei der Logsuche der UTM die Möglichkeit mehrere Suchbegriffe anzugeben?
keine Ahnung.

Was soll der LogFilter bewirken? ( FF IE und Chrome bringen keine Filterung zustande)

Bei mir rennt das im Chrome. IP eingeben und er filtert halt nur nach deiner IP
Mitglied: itisnapanto
itisnapanto 23.10.2018 um 15:13:57 Uhr
Goto Top
Hallo,

jaaaaaa ich durfte mich damals auch erstmal dran gewöhnen.
Ich VPN Log siehst wann und gerade eingeloggt ist .
Wenn du dazu noch das Firewall Log dazu nimmst , sieht du auch, wo und mit was wer drauf zugegriffen hat.

Kannst auch alles auf nen Syslog Server jagen und dann mit Ansichten arbeiten.

Anders herum kannst du auch im Punkt "Logging & Reporting " unter Remote Access die Sessions einsehen.
Dann hast du die Remote IP vom Client .
Danach wieder L&R > Network Protection und dann oben auf Firewall und dann kannst du mit der Source IP weiter nachforschen.

Gruss
Mitglied: Leo-le
Leo-le 25.10.2018 aktualisiert um 13:18:10 Uhr
Goto Top
Mit welchem Syslog Server würde das Ganze am Ende hübsch aussehen und wäre einfach konfigurierbar ?

Besten Dank !