SUPPRIMER Types et sous-types de journaux
Le FortiGate génère trois grands types de journaux : trafic, événement et sécurité. Chaque type est divisé en sous-types qui précisent la nature exacte de l’activité enregistrée.
Journaux de trafic
Les journaux de trafic enregistrent les informations de flux, par exemple une requête HTTP/HTTPS et sa réponse. Ils comportent trois sous-types :
- Forward — informations sur le trafic que le FortiGate a accepté ou refusé selon une politique de pare-feu.
- Local — trafic échangé directement avec les adresses IP de gestion du FortiGate, y compris les connexions à l’interface graphique (GUI) et les requêtes FortiGuard.
- Sniffer — trafic observé par le sniffer « one-arm ».
Journaux d’événements
Les journaux d’événements enregistrent les événements système et administratifs (ajout ou modification d’un paramètre, activité des démons). Leurs sous-types incluent : contrôle des terminaux (endpoint control), haute disponibilité (HA), système, utilisateur, routeur, VPN, WAD et sans-fil.
- Système — opérations telles que les mises à jour FortiGuard automatiques et les connexions à la GUI.
- Utilisateur — événements d’ouverture et de fermeture de session pour les politiques avec authentification.
- Routeur, VPN, WAD, sans-fil — journaux propres à ces fonctionnalités (par exemple, VPN contient les entrées IPsec et SSL VPN).
Journaux de sécurité
Les journaux de sécurité enregistrent les événements de sécurité (attaques virales, tentatives d’intrusion). Ils reposent sur le type de profil de sécurité (log type = utm) : contrôle applicatif, antivirus, prévention des fuites de données (DLP), antispam (filtrage e-mail), filtrage Web, prévention des intrusions, anomalies (politique DoS) et pare-feu applicatif Web (WAF).
Remarque : les journaux de sécurité et leurs sous-types n’apparaissent dans la GUI que si des journaux ont été créés. En l’absence de journal de sécurité, l’élément de menu correspondant ne s’affiche pas.
