SmartView Tracker：防火墙日志管理与监控的全面指南

1. 引言

在构建好安全基础设施后，了解流经各个组件的流量情况至关重要。SmartView Tracker 能让安全管理员直观地查看流量，对于维护和更新安全策略而言，解析日志的能力不可或缺。通过日志跟踪用户、连接和管理操作，完全依赖于网关的配置。为了审计规则、调查违规行为或收集统计数据，需要为关注的项目启用日志记录。

2. Tracker 概述

作为管理员，在 Check Point 网关中，SmartView Tracker 是一款强大的工具，可对产品进行定制，以实现最佳配置。它能对防火墙进行全面监督，涵盖管理和安全策略方面。根据 SmartCenter 或日志服务器的配置，可连接到其中之一，立即查看防火墙的运行状态。在大型网络中，使用包含独立日志服务器的分布式实现可能会有所帮助，同时，日志记录的流量量也会影响配置。SmartView Tracker 可连接到日志服务器或 SmartCenter 服务器以生成所需视图。

打开 SmartView Tracker 后，有多个视图框架和选项卡可供选择，包括日志连接数据、当前连接数据和审计日志数据，默认视图为日志视图。默认情况下，它会打开当前日志文件（fw.log），也可以通过点击“文件”|“打开”选择旧的保存日志文件进行查看。

3. 日志视图（Log View）

在标准日志视图中，能看到到达防火墙的连接尝试，这些尝试能反映防火墙的运行情况。若看到大量相似尝试被丢弃或拒绝，可能表示受到攻击；若看到不合逻辑的连接尝试，可能存在路由问题或其他网络问题；若看到本不应通过或应通过却未通过的流量，则可能存在配置错误。

需要注意的是，SmartView Tracker 仅显示网关配置为记录的内容。默认情况下，SmartDashboard 中规则的“跟踪”选项设置为“无”，要使网关记录连接，必须将选项设置为“日志”或“计费”。

日志视图有三个窗格：
- 记录窗格（Records pane） ：位于右侧，可查看连接详细信息。
- 查询属性窗格（Query Properties pane） ：通过点击“视图”|“查询属性”显示，位于记录窗格上方，可通过插入过滤数据或勾选/取消勾选“显示”框来定义记录窗格中显示的内容。
- 查询树窗格（Query Tree pane） ：位于日志视图窗口左侧，包含一个根级“日志查询”树和两个分支，即预定义和自定义分支，分支上的叶子节点标识保存的查询。

SmartView Tracker 为用户预填充了许多预定义查询，同时也可自定义查询。在日志视图中，还有一个特殊工具栏，包含多个快捷工具，以下是部分按钮的功能：
| 按钮名称 | 功能描述 |
| ---- | ---- |
| 显示或隐藏查询属性 | 切换显示或移除查询属性窗格 |
| 应用过滤器 | 启用时，查询立即应用于日志；禁用时，查询集保留在内存中但不应用于当前记录 |
| 解析 IP | 默认显示主机名，可禁用此设置仅显示 IP 地址 |
| 解析服务 | 默认显示关联的服务名称，如 Telnet（TCP 端口 23）、SMTP（TCP 端口 25）等 |
| 显示空匹配 | 显示可能不匹配当前过滤器的记录 |
| 自动滚动 | 持续更新视图以显示最新记录 |
| 清除所有过滤器 | 清除所有过滤器，返回查看所有记录 |

mermaid 格式流程图展示日志视图操作流程：

graph LR
    A[打开 SmartView Tracker] --> B[进入日志视图]
    B --> C{选择操作}
    C -->|查看记录| D[记录窗格查看详细信息]
    C -->|设置过滤| E[查询属性窗格设置过滤条件]
    C -->|选择查询| F[查询树窗格选择预定义或自定义查询]
    C -->|使用工具| G[工具栏操作]

4. 活动视图（Active View）

活动选项卡显示防火墙上当前打开的连接，能让用户全面了解系统的运行情况，但可能会有一定的性能成本，尤其是在繁忙的网关环境中。该视图添加了“连接 ID”列，其他字段与日志选项卡类似。活动选项卡同样具有查询属性和查询树窗格，默认显示查询树，查询属性窗格默认隐藏。与日志选项卡一样，可对记录进行过滤并保存为自定义查询。

5. 审计视图（Audit View）

审计选项卡视图可查看防火墙管理和安全策略修改的相关情况。其视觉呈现与日志和活动选项卡相似，默认不显示查询属性窗格，可通过点击工具栏上的“显示或隐藏查询属性”按钮查看。在记录窗格中，可看到系统记录的一些条目，如重命名对象、修改对象、创建对象、登录和注销等，这些条目详细说明了管理员对安全策略所做的更改。与其他选项卡一样，可通过修改预定义查询为审计记录创建自定义查询。

6. 预定义查询（Predefined Queries）

SmartView Tracker 提供了许多预定义查询，主要在日志选项卡中，根据产品类型过滤记录条目。以“防火墙”预定义查询为例，在查询属性窗格中，“产品”行自动填充为“等于 {VPN - 1 Pro/Express}”，可根据需要为每个过滤器输入多个值。部分列的“显示”框被勾选，这些列将显示在记录窗格中，“列”列定义了记录窗格的布局。

调整列宽有两种方法：一是像许多产品一样，点击并拖动记录或查询属性窗格中列的右边缘进行调整；二是在查询属性窗格中修改“宽度”列的值。当对某列应用过滤器时，该列文本左侧的过滤器图像会变为绿色。

预定义查询可作为创建自定义查询的起点，但不能满足所有需求，需要进一步定义过滤器以获得更精确的结果。

7. 添加自定义查询（Adding Custom Queries）

虽然不一定要调用预定义查询来保存自定义查询，但选择其中一个查询作为起点会很有帮助。需要注意的是，不能以任何方式更改或修改 SmartView Tracker 的预定义查询，每次修改预定义查询后，必须将其保存为新的自定义查询，这些新查询将保存在查询树窗格的“自定义”分支下。

创建自定义查询的步骤如下：
- 基于预定义或现有自定义查询 ：
1. 双击预定义（或现有自定义查询）查询。
2. 根据需要修改过滤器。
3. 将新的过滤器集保存为新的自定义查询。
- 从所有记录（默认）视图创建 ：
1. 根据需要修改过滤器。
2. 将新的过滤器集保存为新的自定义查询。

SmartView Tracker 会将自定义查询保存到本地 PC 上，文件名格式为 ##.vd，其中 ## 表示按数字顺序的下一次迭代。若要在另一台机器上使用这些查询，需将 ##.vd 文件从一台主机复制到另一台主机。此外，首次启动应用程序时，SmartView Tracker 会自动加载名为 0.vd 的文件，若要更改默认视图，可将当前 0.vd 文件保存为备份副本，并将所需的默认查询重命名为 0.vd。

8. 应用过滤器（Applying Filters）

可通过两种方式应用过滤器：
- 使用查询属性窗格 ：在查询属性窗格中，右键单击“过滤器”列，选择“编辑过滤器”，在弹出窗口中定义过滤器参数，点击“确定”保存设置。
- 在记录窗格操作 ：在记录窗格中，右键单击要过滤的列中的任何记录或列标题，选择“编辑过滤器”，同样会弹出上述窗口，选择过滤参数并点击“确定”。

当过滤器设置达到最佳状态时，可通过点击“查询”|“另存为…”将过滤器集保存为自定义查询。

9. 自定义查询（Custom Queries）

9.1 匹配规则过滤器（Matching Rule Filter）

在 SmartView Tracker 中，可根据特定规则过滤日志条目来调查所需流量，有两种过滤方法：
- 按当前规则编号过滤（Current Rule Number） ：将规则与活动安全策略关联，并与该策略中的位置相关联。该值是动态的，当在安全策略中添加或删除规则时，被移除规则下方的所有规则编号都会改变。此方法会跟踪这些变化，并过滤与提交的规则编号相关联的记录。
- 按规则 UID 过滤（Rule UID） ：规则 UID 是一个静态值，不会随策略变化而改变。每个规则都有唯一的 UID，通过该字段跟踪将返回所需规则的记录，无论其当前规则编号是多少。在策略更改后，此过滤器更具优势，因为按当前规则编号过滤可能仅返回自上次策略推送以来记录的记录。

要调用这些过滤器，右键单击任何规则并选择相应选项：若按当前规则编号过滤，选择“跟随规则编号：<编号>”；若按规则 UID 过滤，选择“跟随规则：<规则名称>”。

9.2 查看匹配规则（Viewing the Matching Rule）

过滤安全策略中的规则后，可通过右键单击记录，选择“在 SmartDashboard 中查看规则”，SmartView Tracker 将启动 SmartDashboard 的只读窗口并突出显示当前规则。若启用了修订控制，SmartDashboard 将打开该规则所在的最后一次修订版本。需要注意的是，只有通过 Check Point NG 带应用智能 R55 或更高版本模块生成的策略才会创建 UID 编号。

9.3 从 SmartDashboard 查看日志记录（Viewing Log Records from SmartDashboard）

在 SmartDashboard 中，右键单击任何规则的“编号”列，选择“在 SmartView Tracker 中查看规则日志”，日志选项卡将打开并自动应用当前规则编号的过滤器。也可以从 SmartDashboard 复制规则 UID 并粘贴到 SmartView Tracker 的查询属性窗格中编辑规则 UID 过滤器属性，以绕过策略更改并获取该唯一规则的所有记录。

10. 活动视图的其他功能

10.1 实时连接（Live Connections）

在活动视图中，可看到连接的建立和断开过程。若怀疑受到主机攻击或内部服务受到威胁，可使用查询和过滤器仅显示所需内容，进一步分析结果以确定攻击是否真实发生。若确定发生了主动攻击，可调用“阻止入侵者”操作，阻止源和目标或源、目标和服务三元组的连接。

10.2 自定义命令（Custom Commands）

SmartView Tracker 允许在视图中使用一些实用工具，如 ping 和 nslookup。右键单击任何记录，菜单底部会显示命令列表，选择相应命令，网关将传递适当的参数以完成命令。还可以通过点击“工具”|“自定义命令”定义自己的命令行工具，但需要确保所有管理员在连接的主机上具有相同的可执行文件和绝对路径。

10.3 跟随源或目标（Following a Source or Destination）

在查看日志时，若看到可疑的源或目标，可选择记录，右键单击并选择“跟随源：<源名称/IP>”或“跟随目标：<目标名称/IP>”，快速查看相关记录，此过滤器仅在日志和活动视图中可用。

11. 阻止入侵者（Block Intruder）

SmartView Tracker 可停止来自可疑入侵者的活动连接。通过在日志记录窗格或活动记录窗格中识别可疑连接，使用活动选项卡，选择连接记录，点击“工具”|“阻止入侵者”，将打开“阻止入侵者”窗口，需配置以下参数：
| 参数名称 | 功能描述 |
| ---- | ---- |
| 阻止范围 | 可按连接配置文件、源或目标进行阻止 |
| 阻止所有具有相同源、目标和服务的连接 | 仅阻止与特定连接配置文件匹配的连接 |
| 阻止来自此源的访问 | 拒绝来自该连接源的任何连接尝试 |
| 阻止对此目标的访问 | 丢弃任何请求访问该目标的流量 |
| 阻止超时 | 可选择无限期或指定分钟数进行阻止 |
| 强制此阻止 | 可限制在一个网关或在所有网关启用阻止操作 |

启用阻止后，可通过点击“工具”|“清除阻止”手动禁用阻止。每次在 SmartView Tracker 中手动阻止入侵者时，网关会在其 sam_blocked_ips 数据库中添加一个条目，可使用 fw tab 命令行实用程序查看这些条目。例如，阻止来自源 192.168.69.201 的所有连接后，查看 sam_requests 表和 sam_blocked_ips 表：

C:\>fw tab -t sam_requests
localhost:
-------- sam_requests --------
dynamic, id 8140, attributes: keep, expires never, limit 25000, hashsize
512, kb
uf 6
<c0a845c9, 00000000, c0a84597, 00000050, 00000006; 00000008, 00010001,
ffffffff,
ffffffff, 0000001a, 00000000>
<c0a845c9, 00000000, 00000000, 00000000, 00000000; 00000008, 00010001,
ffffffff,
00000000, 0000001d, 00000000>
C:\>fw tab -t sam_blocked_ips
localhost:
-------- sam_blocked_ips --------
dynamic, id 8141, attributes: keep, limit 25000, hashsize 512
<c0a84597; 00000000, 00000000, 00000000, 00000000, 00000000, 00000000,
00000000,
00000001, 00000000>
<c0a845c9; 00000001, 00000000, 00000000, 00000000, 00000000, 00000000,
00000000,
00000001, 00000000>

将部分值转换为十进制后，可验证设置是否正确阻止了所需连接。若要从命令行删除条目，可调用 fw sam –D 命令。

此外，还可使用 SmartView Monitor 工具查看当前应用的阻止规则，删除单个或所有规则，并在有被阻止的入侵者尝试连接时接收警报。打开 SmartView Monitor（通过点击“窗口”|“SmartView Monitor”），点击“工具”|“可疑活动规则”查看条目，可选择防火墙或所有 VPN - 1 & FireWall - 1 模块。当攻击者试图绕过防火墙时，若 SmartView Monitor 打开且未禁用警报弹出窗口，将弹出“警报”窗口显示连接详细信息，可在该窗口中删除单个或所有消息。

12. 审计视图的详细信息

审计视图的主要优势在于其可追溯性。当管理员不记得更改策略且某些流量被阻止时，可查看审计记录确定发生了什么以及是谁进行了更改。需要确保每个管理员具有唯一的用户名，以实现防火墙管理界面的可追溯性。

双击审计记录条目，点击右上角的“更多列”选项，可查看记录详细信息，包括管理员安装策略的时间、管理员身份、安装策略的主机等，这些信息对于调查特定更改或策略安装非常有价值。审计选项卡还记录了许多其他操作，可进行过滤以显示所需操作，并创建自定义查询以供后续使用。

13. 日志维护（Log Maintenance）

防火墙处理的流量量决定了日志维护的必要性。Check Point 提供了一系列工具来管理日志，SmartView Tracker 包含一些自动化日志维护选项，部分自动化日志管理设置可通过 SmartDashboard 进行配置。

若使用日志服务器且防火墙模块无法与日志服务器通信，模块将本地存储日志，当恢复通信后，新记录将发送到日志服务器，但本地存储的记录需要使用 SmartView Tracker 的“工具”|“远程文件管理”工具进行恢复。

Check Point 的 Eventia Reporter Server 可自动导入日志以实现高级报告功能，也可将日志文件导出为 ASCII 文本格式或与 Oracle 数据库兼容的格式。若日志服务器或防火墙模块磁盘空间不足，可采用循环日志记录，在磁盘空间不足时删除旧日志，但可能会丢失不可恢复的连接记录和审计数据。

13.1 日常维护（Daily Maintenance）

日志轮换是日志管理的关键方面。默认情况下，Check Point 会在日志文件达到 2GB 时自动轮换，可通过 SmartDashboard 中的网关对象属性页面配置此设置和轮换计划：
1. 双击网关对象，选择“日志和主服务器”。
2. 点击“+”展开“日志和主服务器”子属性。
3. 定义自动化日志轮换计划和日志文件大小限制。
4. 若要进行夜间轮换，勾选“计划日志切换到：”并选择“午夜”；若要修改文件大小，勾选“当文件大小为：”并输入以 MB 为单位的值。

设置这些选项后，需要在第一次日志轮换及后续几次轮换后审核配置，可能需要进行一些调整以获得合适的设置。

13.2 手动日志切换（Log Switch）

除了自动化日志轮换计划，还可通过 SmartView Tracker 手动进行日志切换。点击“文件”|“切换活动文件”，将保存当前日志文件（fw.log），并使用默认日期/时间文件名格式或自定义名称，之后网关将开始写入新的 fw.log 文件。可随时进行手动日志切换，例如，若要在一个日志文件中捕获特定时间段的流量，可在时间段开始和结束时分别执行手动日志切换，只要捕获时间段不超过文件大小限制或不触发夜间日志轮换，该时间段内的所有流量将存在于单个日志文件中。

SmartView Tracker 是一款强大的工具，可帮助收集流量信息、管理更改信息，提供防火墙当前运行情况的概览。通过预定义查询、自定义查询和过滤器设置，可轻松解析日志数据。不同选项卡（日志、活动、审计）各有其独特的功能和用途，同时日志维护功能确保了日志管理的有效性和灵活性。

SmartView Tracker：防火墙日志管理与监控的全面指南

14. 总结

SmartView Tracker 是一款功能强大的工具，在网络安全管理中发挥着关键作用。它能帮助我们收集流量信息、了解管理变更情况，并直观呈现防火墙的实时运行状态。通过提供预定义查询、支持自定义查询以及灵活的过滤器设置，我们可以高效地解析日志数据，精准定位所需信息。

各个选项卡都有其独特的价值：
- 日志选项卡 ：是最常用的，能展示当前 fw.log 文件中的所有连接记录。通过灵活应用过滤器，我们可以聚焦特定流量，还能对输出进行个性化配置，如调整记录列的顺序和字段值。
- 活动选项卡 ：让我们实时了解防火墙正在处理的连接情况，并且具备即时阻止可疑连接的能力。借助过滤功能，我们可以发现异常的客户端，还能使用自定义命令和跟随源或目标的实用工具，提高工作效率。
- 审计选项卡 ：对于验证安全策略的管理变更至关重要。它详细记录了管理员的操作，包括策略安装时间、操作人员身份等信息，为安全审计和问题追溯提供了有力支持。

作为防火墙管理员，我们要充分认识到日志的重要性。学会合理配置工具以生成有价值的数据，并熟练运用 SmartView Tracker 对日志进行分析，从而快速获取关键信息。

15. 解决方案快速通道

以下是 SmartView Tracker 各方面功能的快速总结：
| 功能模块 | 特点与优势 |
| ---- | ---- |
| Tracker | - 提供多种工具，全面监督防火墙安全策略和管理事件。
- 采用不同视图区分正常日志、活动连接和审计日志事件，且视图易于操作和调整。
- 支持查看当前活动和历史日志文件，但仅记录配置要求的内容，因此规则配置对日志查看至关重要。 |
| 日志视图 | - 展示当前 fw.log 文件中的所有连接记录。
- 可通过应用过滤器聚焦特定流量，过滤器可简单可复杂，并能保存为查询。
- 输出配置灵活，可调整记录列顺序和字段值。 |
| 预定义查询 | - 作为基础过滤器，为创建自定义查询提供良好起点。
- 不能直接修改，修改后需保存为新的自定义查询。 |
| 自定义查询 | - 允许用户定义个性化的过滤器，快速缩小记录范围。
- 可按规则编号或规则 UID 跟踪规则。
- 自定义查询保存在本地管理站，不共享到 SmartCenter 服务器。 |
| 活动视图 | - 显示防火墙当前处理的连接，支持即时阻止连接。
- 有助于发现异常客户端，可根据源地址过滤。
- 提供自定义命令和跟随源或目标的实用工具。 |
| 阻止入侵者 | - 可根据源、服务和目标筛选连接并进行阻止。
- 阻止时间可预设或手动解除。
- 是应对可疑入侵或恶意活动的有效手段。 |
| 审计视图 | - 用于验证安全策略的管理变更，记录详细事件信息。
- 显示最新策略的安装用户和时间，以及对象更改细节。 |
| 日志维护 | - 支持按文件大小、每日计划或两者结合进行日志轮换。
- 可通过 SmartView Tracker 手动进行日志切换。
- 能根据组织策略灵活配置日志轮换和保留策略。 |

mermaid 格式流程图展示 SmartView Tracker 整体使用流程：

graph LR
    A[启动 SmartView Tracker] --> B{选择视图}
    B -->|日志视图| C[查看连接记录，应用过滤器]
    B -->|活动视图| D[监控当前连接，阻止可疑连接]
    B -->|审计视图| E[查看管理变更记录]
    C --> F[创建或使用查询]
    D --> G[使用自定义命令和跟随功能]
    E --> H[创建审计自定义查询]
    F --> I[分析日志数据]
    G --> I
    H --> I
    I --> J[日志维护]
    J -->|自动轮换| K[按配置进行日志轮换]
    J -->|手动切换| L[手动保存和切换日志文件]

16. 常见问题解答

以下是一些关于 SmartView Tracker 的常见问题及解答：
| 问题 | 解答 |
| ---- | ---- |
| 为什么不能保存对预定义查询的更改？ | SmartView Tracker 的预定义查询不能直接保存更改，需将更改保存为新的自定义查询。 |
| 我尝试使用规则 UID 过滤但不起作用，问题出在哪？ | 版本低于 R55 的系统未为规则分配规则 UID，需使用 R60 SmartCenter Server 保存并安装策略以生成 UID。 |
| 按规则编号过滤没有结果，但应该有很多记录，怎么回事？ | 按规则编号过滤通常只返回当前安全策略版本的结果，建议使用规则 UID 过滤以获取与规则相关的所有记录，不受当前策略版本影响。 |
| 有时日志视图似乎卡住了，是否与解析名称有关？ | 日志服务器为每条记录进行名称查找可能会影响性能，可通过切换“解析 IP”工具栏按钮禁用名称查找。 |
| 防火墙模块多久将记录发送到日志服务器？ | 默认情况下，防火墙模块在记录写入时立即发送。也可配置模块本地记录，并按预定计划自动将文件发送到日志服务器。 |
| 为什么规则 X 没有出现在日志中？ | 确保要记录的规则在“跟踪”字段中选择了“日志”选项，否则该规则的连接不会出现在日志文件中。 |
| 日志服务器崩溃后恢复，之前的日志文件怎么办？ | 当模块无法与日志服务器通信时，会本地记录日志。日志服务器恢复后，模块开始向其转发新记录，但本地记录的文件需使用“远程文件管理”工具恢复。 |
| 记录窗格中有很多空列，如何去除？ | 可右键单击列标题或列中的任何单元格，选择“隐藏列”，也可在查询属性窗格中取消该列的勾选。 |

17. 深入探讨 SmartView Tracker 的应用场景

17.1 网络攻击检测

在网络环境中，攻击行为可能随时发生。SmartView Tracker 可作为强大的监测工具，帮助我们及时发现攻击迹象。例如，在日志视图中，通过设置过滤器，我们可以重点关注被拒绝或丢弃的连接记录。如果发现大量来自同一源 IP 的相似连接尝试被拒绝，很可能是遭受了暴力破解或扫描攻击。

操作步骤如下：
1. 打开 SmartView Tracker，进入日志视图。
2. 点击查询属性窗格，右键单击“过滤器”列，选择“编辑过滤器”。
3. 在弹出窗口中，设置“动作”过滤器为“拒绝”或“丢弃”，并根据需要添加源 IP 等其他过滤条件。
4. 点击“确定”保存设置，查看过滤后的记录。

17.2 合规性审计

许多组织需要满足各种合规性要求，如 GDPR、HIPAA 等。SmartView Tracker 的审计视图可以帮助我们记录和审查防火墙的管理变更，确保操作符合相关法规和内部政策。

操作步骤如下：
1. 打开 SmartView Tracker，切换到审计视图。
2. 若需要，点击工具栏上的“显示或隐藏查询属性”按钮，显示查询属性窗格。
3. 根据合规性要求，设置过滤器，如筛选特定时间段内的策略修改记录。
4. 查看记录详细信息，确保所有操作都有明确的操作人员和时间记录。

17.3 性能优化

在高流量环境中，防火墙的性能可能会受到影响。通过分析 SmartView Tracker 的日志和活动视图，我们可以找出性能瓶颈，并采取相应的优化措施。

操作步骤如下：
1. 在活动视图中，使用过滤器筛选出流量较大的连接或源 IP。
2. 查看这些连接的详细信息，包括带宽使用、连接时长等。
3. 根据分析结果，调整防火墙策略，如限制某些高流量源的访问频率或优化规则顺序。
4. 定期查看日志和活动视图，评估优化效果。

18. 总结与展望

SmartView Tracker 为防火墙管理和安全监控提供了全面而强大的功能。通过合理运用其各种视图、查询和过滤器，我们可以更好地理解网络流量、及时发现安全威胁，并确保防火墙的高效运行。

在未来，随着网络环境的不断变化和安全需求的日益增长，SmartView Tracker 可能会进一步发展和完善。例如，可能会增加更多智能化的分析功能，如自动识别异常流量模式、提供实时安全建议等。作为管理员，我们应持续关注其发展动态，不断提升自身的技能和知识，以充分发挥 SmartView Tracker 的潜力，保障网络的安全稳定运行。

希望本文能帮助你更好地理解和使用 SmartView Tracker，如果你在实际操作中遇到任何问题，欢迎随时交流探讨。让我们一起利用这个强大的工具，构建更加安全可靠的网络环境。