Rappel :

SmartLog est le produit de CheckPoint (remplaçant du SmartTracker) qui permet de requêter la base de logs.
La grande différence par rapport au SmartTracker c'est que SmartLog indexe les logs pour une rapidité accrue lor des recherches.

Syntaxe des requêtes :

Requête basique :

[<Champ>:] <critère de recherche>


Requête avec des opérateurs :

[:] <critère de recherche> AND|OR|NOT [:] <critère de recherche>

Note : les mot clé et les critères de recherche ne sont pas sensible à la casse.

Critères de recherche :

Une chaîne de caractère

  • boby
  • inbound
  • 192.168.1.1
  • srv1234.example.com
  • dns_udp


Une phrase

  • 'John Doe'
  • 'log out'
  • 'VPN-1 Embedded Connector'

Note : On ne peut pas mettre un nombre ou une adresse IP dans une phrase entre cote, exemple 'boby 1234'.

Adresses IP

  • 8.8.8.8
  • 192.168.1.0/24
  • 2010:10::0/64


Range IP

<première IP>-<dernière IP>
Exemple :
10.1.1.0-10.1.1.255

Range numérique

Exemple pour les ranges de ports.

<premier nombre>-<dernier nombre>

Exemple :

  • 65000-66000
  • port:80-443


Wildcards

  • ? : matche un caractère
  • * : matche des caractères

Exemple :

  • bo* : matche boby, bob, bob la frite
  • bo? : matche bob, bon, bot


Wildcards sur les adresses IP

  • 192.168.1.* : matche les IP de 192.168.1.0 à 192.168.1.255
  • 192.168.* : matche les IP de 192.168.0.0 à 192.168.255.255


Mot clé :

Mot clé Alias Description
actionAction utilisée dans les régles de sécurité (drop, reject, ...)
bladeproductBlade logicielle CheckPoint
destinationdst, dest, toDestination, peut être une adresse IP, nom DNS ou un object CheckPoint
ipprotoprotocolNuméro du protocole IP
originNom de la gateway qui génére le log
portdport, d_port, dst_port, destination_portPort UDP/TCP de destination
ruleRègle de sécurité qui a généré le log
serviceService qui a généré le log
sourcesrc, fromSource, peut être une adresse IP, nom DNS ou un object CheckPoint
source_portsport, s_port, src_portPort UDP/TCP souce
userNom d'utilisateur


Rappel de la syntaxe : <mot clé>:<valeur>
Il y a une particularité lors de l'utilisation du mot clé rule :
rule:<numéro de règle ou rule UID>/<nom de la policy>


  • source:192.168.1.1
  • rule:2/ma_policy
  • action:(drop or reject or block)

On peut utiliser l'opérateur OR dans des parenthèses pour chercher plusieurs critères.


Opérateur booléen :

  • OR
  • AND
  • NOT

Exemples :

  • blade:"application control" AND action:drop : affiche les logs qui sont droppées par la blade application control.
  • 192.168.1.1 10.1.1.1 : affiche les logs entre ces 2 IPs (opérateur AND implicite).
  • 192.168.1.1 OR 10.1.1.1 : affiche les logs qui matchent une des 2 IPs.
  • (blade:Firewall or blade:IPS or blade:VPN) AND NOT actoin:drop : affichier les logs des différentes blades citées qui ne sont pas droppées.
  • source:(10.1.1.1 OR 10.2.2.2) AND destination:192.168.1.1

Note : les opérateurs n'ont pas casse.


Date et range de temps :

  • minute
  • hour
  • day
  • week
  • month
  • year



Syntaxe pour les critères :
last | past [<nombre>] <période de temps>


Exemples :

  • last 12 hours : affiche les logs générées durant les 12 dernières heures
  • past 10 week : affiche les logs générées durant les 10 dernières semaines
  • last year : affiche les logs générées durant la dernière année

Range de date :

Syntaxe :
JJ/MMM/AAAA hh:mm:ss[-JJ/MMM/AAAA hh:mm:ss]

  • JJ : jour du mois
  • MMM : mois sur 3 caractères
  • AAAA : Année
  • hh : heures au format 24h
  • mm : minutes
  • ss : secondes


Note : on peut utiliser les mots clé yesterday, today.
La valeur to est optionnelle, si elle n'est pas spécifiée, from sera utilisé par défaut.
La valeur des heures est optionnelle, si elle n'est pas spécifiée, SmartLog utilisera 00:00 à 23:59.
Si l'on spécifie une heure, on doit mettre les heures et minutes, les secondes sont optionnelles.
Le jour et l'année sont optionnels, s'ils ne sont pas spécifiés les valeurs les plus récentes seront utilisées.
On peut ignorer la date, alors today sera utilisé.
Le mois est obligatoire.
On ne peut pas utiliser de wildcards.


Exemples :

  • 1/mar/2012-5/mar/2012 : affiche les logs entre le 1 et 5 mars 2012
  • 5/mar/2012 : affiche les logs du 5 mars 2012
  • yesterday-today : affiche les logs d'hier de 00h00 à aujourd'hui 23h59
  • 5/mar/2012 07:00-08:59 : affiche les logs du 5 mars 2012 à 7h jusqu'à aujourd'hui 8h59


Annexe :

Source CheckPoint