Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Création de filtres

Les filtres permettent de rechercher dans les journaux et d’afficher des informations sur l’état, l’heure ou les champs des filtres dans les journaux. Vous pouvez configurer les filtres de base et avancés pour qu’ils correspondent aux conditions de filtrage. Vous pouvez soit charger des filtres existants, soit définir un nouveau filtre. Un filtre vous permet d’entrer des informations spécifiques qui doivent être affichées sur la page Observateur d’événements ; par exemple, les colonnes de la table Observateur d’événements, l’intervalle de temps et le point d’agrégation. Lorsque vous modifiez un filtre existant ou que vous créez un nouveau filtre, le tableau Observateur d’événements est mis à jour automatiquement. Si les filtres contiennent des détails sur l’heure, l’intervalle de temps dans l’Observateur d’événements est mis à jour avec l’heure spécifiée dans le filtre.

Les filtres offrent :

  • Accès rapide aux informations critiques : si vous êtes administrateur de pare-feu, vous devrez peut-être refuser régulièrement le trafic provenant d’une application spécifique ou d’un ensemble d’adresses spécifique. Vous devrez peut-être également autoriser ou refuser l’accès à des applications spécifiques à certains utilisateurs. Pour remplir ces conditions, vous devez définir des critères de recherche utilisateur, parcourir les journaux de pare-feu qui correspondent à ces critères et afficher les journaux correspondants.

  • Partage des filtres entre les utilisateurs : les autres utilisateurs de votre domaine peuvent utiliser les filtres que vous avez créés sans les modifier ni les supprimer.

  • Filtrer l’utilisation dans plusieurs domaines fonctionnels : les filtres peuvent être utilisés dans plusieurs domaines fonctionnels, tels que l’observateur d’événements, le tableau de bord, les alertes et les rapports.

À partir de Junos Space Security Director version 19.2R1, en plus de la recherche manuelle à l’aide de mots-clés, vous pouvez glisser-déposer les valeurs des cellules non vides de la grille dans la barre de recherche de l’observateur d’événements. La valeur est ajoutée comme critère de recherche et les résultats de la recherche sont affichés. Vous pouvez uniquement glisser-déposer des cellules pouvant faire l’objet d’une recherche. Lorsque vous passez la souris sur les lignes de l’observateur d’événements, les cellules pouvant faire l’objet d’une recherche s’affichent sur fond bleu. Si une cellule n’est pas consultable, la couleur d’arrière-plan n’est pas modifiée. Si vous faites glisser une cellule pouvant faire l’objet d’une recherche sans aucune valeur ou si la valeur = '–', vous ne pouvez pas supprimer le contenu de ces cellules. Si la barre de recherche dispose déjà d’un critère de recherche, tous les critères de recherche suivants par glisser-déposer sont précédés de « ET ». Après avoir déposé la valeur dans la barre de recherche, la condition de recherche est actualisée dans la grille. Cela s’applique aussi bien aux filtres de recherche simples qu’aux filtres de recherche complexes.

Pour créer un filtre Observateur d’événements :

  1. Sélectionnez Surveiller > événements et journaux.
  2. Cliquez sur Vue détaillée.
  3. Cliquez sur le champ de texte du filtre.

    Les clés de filtre disponibles sont affichées par ordre alphabétique dans une liste déroulante.

  4. Saisissez la clé exacte dans le champ de texte du filtre ou sélectionnez-la dans la liste déroulante des clés.

    La clé apparaît dans la barre de filtres. Lorsque vous saisissez les valeurs, des suggestions s’affichent dans la liste déroulante dans la mesure du possible.

    Dans la zone de texte de recherche, une icône affiche l’exemple de condition de filtre. Lorsque vous commencez à saisir la chaîne de recherche, l’icône indique si la chaîne de filtre est valide ou non.

    Par exemple : EventName =

  5. Continuez à ajouter des expressions <key>space <operator> space <value>de filtre .

    La clé s’affiche, ainsi que la combinaison de valeurs dans la barre de filtre.

    Par exemple : EventName = LOGIN_FAILED

  6. Répétez les étapes 4 et 5 pour ajouter des expressions de filtre supplémentaires. Appuyez sur Entrée pour indiquer l’opérateur AND et la virgule pour l’opérateur OR.

    Les clés de filtre disponibles sont affichées par ordre alphabétique dans la liste déroulante.

    Par exemple : EventName = LOGIN_FAILED AND SrcIP =

  7. Saisissez l’adresse IP requise.

    Par exemple : EventName = LOGIN_FAILED AND SrcIP = 192.168.45.350

    Le terme opérateur ET/OU s’affiche dans la barre de filtre pour ajouter une touche différente. À partir de la version 16.1 de Junos Space Security Director, le terme opérateur OR s’affiche.

  8. Cliquez sur Enregistrer > Enregistrer le filtre.
  9. Saisissez le nom du filtre.
  10. Cliquez sur OK.

    Les journaux d’événements pour EventName = LOGIN_FAILED ET SrcIP = 192.168.45.350 s’affichent.

À partir de Junos Space Security Director version 18.4R1, vous pouvez effectuer un filtrage complexe à l’aide des opérateurs logiques AND et OR et des crochets pour regrouper les jetons de recherche.

Par exemple : (Nom = un et id = 11) ou (Nom = deux et id = 12)

Pour obtenir des exemples sur les filtres des journaux d’événements, consultez la section Recherche avancée de la vue d’ensemble des événements et des journaux.

Note:

Les filtres que vous avez saisis apparaîtront dans l’historique des filtres jusqu’à la session suivante.

Documentation connexe