3. 收集LOG(For POC)

一、     收集Log

當機器已經運作一段時間後(照Paloalto的測試週期為一星期),要到現場收集Log,下述給各位的步驟是我自己的經驗,有幫助就拿去用吧!

1.      收集Monitor中的Log

從Traffic開始收,基本上只要點選綠色區塊中的任何一個藍色欄位,都可以變成一個搜尋,點兩個以上的話是採用and方式做搜尋。

2016-07-22_101626

 

選擇Columns可以調整需要的欄位

2016-07-22_101648

 

調整欄位可以幫助你選擇可以用來分析的資料,原則上我的資料都會全收,但是欄位選項會調整,因為有些值是沒有意義,甚至都是相同的。

2016-07-22_101651

 

接著匯出成CSV檔

2016-07-22_103222

 

產生Log檔

2016-07-22_104949

 

下載

2016-07-22_104957

 

接著開始收Threat,方式都跟上述一樣,不過這裡有個特別提醒的地方,這次的POC,我因為收集了兩個點,一個是Interface的出口端,另一個是Server的出口端,所以在收集Log上,我特別分Zone去收集,所以你可以在搜尋當中看到(Zone eq TAP-internet)的字樣

2016-07-22_103217

 

另外一個是(Zone eq TAP-Server Farm)

2016-07-22_103214

 

Wildfire 只有一頁,所以我也就不分了,但Wildfire一個禮拜有16個其實也不少。

2016-07-22_103210

 

二、     收集產生SLR 的檔案

 

這份檔案是要上傳給原廠做成SLR的,也就是說你上傳完這份資料就會得到一個禮拜的結果分析數據,但抱歉的是,如果你是工程師,這份資料是要交給PM來幫你產出的,也就是要能得到這份資料,你得先找業務跟原廠Booking後,有紀錄才能將資料上傳。

 

2016-07-22_102747

 

點選Generate stats Dump File,這會產出從現在開始往前推一個禮拜的數據。如果你還沒點選”Generate stats Dump File”就已經看見檔案在下面,別急著下載,請重新產出一次。

2016-07-22_102750

 

接著點選Download Stats Dump File。

2016-07-22_102753

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.