CheckPoint - SmartLog syntaxe des requêtes
Alasta 2 Avril 2016 checkpoint checkpoint cli log bigdata
Description : Voici la syntaxe pour affiner les résultats sur le SmartLog de CheckPoint.
Rappel :
SmartLog est le produit de CheckPoint (remplaçant du SmartTracker) qui permet de requêter la base de logs.
La grande différence par rapport au SmartTracker c’est que SmartLog indexe les logs pour une rapidité accrue lor des recherches.
Syntaxe des requêtes :
Requête basique :
[<Champ>:]
Requête avec des opérateurs :
[<mot clé>:]
Note : les mot clé et les critères de recherche ne sont pas sensible à la casse.
Critères de recherche :
Une chaîne de caractère
- boby
- inbound
- 192.168.1.1
- srv1234.example.com
- dns_udp
Une phrase
- ‘John Doe’
- ‘log out’
- ‘VPN-1 Embedded Connector’
Note : On ne peut pas mettre un nombre ou une adresse IP dans une phrase entre cote, exemple ‘boby 1234’.
Adresses IP
- 8.8.8.8
- 192.168.1.0/24
- 2010:10::0/64
Range IP
#### Range numérique Exemple pour les ranges de ports. <premier nombre>-<dernier nombre> Exemple : * 65000-66000 * port:80-443
#### Wildcards * ? : matche un caractère * \* : matche des caractères Exemple : * bo* : matche boby, bob, bob la frite * bo? : matche bob, bon, bot
#### Wildcards sur les adresses IP * 192.168.1.\* : matche les IP de 192.168.1.0 à 192.168.1.255 * 192.168.* : matche les IP de 192.168.0.0 à 192.168.255.255
## Mot clé :
| Mot clé | Alias | Description |
|---|---|---|
| action | Action utilisée dans les régles de sécurité (drop, reject, ...) | |
| blade | product | Blade logicielle CheckPoint |
| destination | dst, dest, to | Destination, peut être une adresse IP, nom DNS ou un object CheckPoint |
| ipproto | protocol | Numéro du protocole IP |
| origin | Nom de la gateway qui génére le log | |
| port | dport, d_port, dst_port, destination_port | Port UDP/TCP de destination |
| rule | Règle de sécurité qui a généré le log | |
| service | Service qui a généré le log | |
| source | src, from | Source, peut être une adresse IP, nom DNS ou un object CheckPoint |
| source_port | sport, s_port, src_port | Port UDP/TCP souce |
| user | Nom d'utilisateur |
Rappel de la syntaxe : <mot clé>:<valeur> Il y a une particularité lors de l'utilisation du mot clé **rule** : rule:<numéro de règle ou rule UID>/<nom de la policy>
* source:192.168.1.1 * rule:2/ma_policy * action:(drop or reject or block) On peut utiliser l'opérateur OR dans des parenthèses pour chercher plusieurs critères.
## Opérateur booléen : * OR * AND * NOT Exemples : * blade:"application control" AND action:drop : affiche les logs qui sont droppées par la blade application control. * 192.168.1.1 10.1.1.1 : affiche les logs entre ces 2 IPs (opérateur AND implicite). * 192.168.1.1 OR 10.1.1.1 : affiche les logs qui matchent une des 2 IPs. * (blade:Firewall or blade:IPS or blade:VPN) AND NOT actoin:drop : affichier les logs des différentes blades citées qui ne sont pas droppées. * source:(10.1.1.1 OR 10.2.2.2) AND destination:192.168.1.1 _Note :_ les opérateurs n'ont pas casse.
## Date et range de temps : * minute * hour * day * week * month * year
Syntaxe pour les critères : last | past [<nombre>] <période de temps>
Exemples : * last 12 hours : affiche les logs générées durant les 12 dernières heures * past 10 week : affiche les logs générées durant les 10 dernières semaines * last year : affiche les logs générées durant la dernière année ## Range de date : Syntaxe : JJ/MMM/AAAA hh:mm:ss[-JJ/MMM/AAAA hh:mm:ss] * JJ : jour du mois * MMM : mois sur 3 caractères * AAAA : Année * hh : heures au format 24h * mm : minutes * ss : secondes
_Note :_ on peut utiliser les mots clé yesterday, today. La valeur **to** est optionnelle, si elle n'est pas spécifiée, **from** sera utilisé par défaut. La valeur des heures est optionnelle, si elle n'est pas spécifiée, SmartLog utilisera 00:00 à 23:59. Si l'on spécifie une heure, on doit mettre les heures et minutes, les secondes sont optionnelles. Le jour et l'année sont optionnels, s'ils ne sont pas spécifiés les valeurs les plus récentes seront utilisées. On peut ignorer la date, alors **today** sera utilisé. Le mois est obligatoire. On ne peut pas utiliser de wildcards.
Exemples : * 1/mar/2012-5/mar/2012 : affiche les logs entre le 1 et 5 mars 2012 * 5/mar/2012 : affiche les logs du 5 mars 2012 * yesterday-today : affiche les logs d'hier de 00h00 à aujourd'hui 23h59 * 5/mar/2012 07:00-08:59 : affiche les logs du 5 mars 2012 à 7h jusqu'à aujourd'hui 8h59
## Annexe : Source CheckPoint