slfow , jflow , firewall analyzer and monitoring tools

we have 6 locations 3 protected by cisco asa  3 by ASG.  Lately we have invested in products like firewall analyzer from manage engine and foglight NMS and these devices work flawless with the asa to give us detailed information of the goings and comings of users, attackers and general traffic usage. 

because of these tools we were able to correlate an attack by a single attacker on 2 of our locations.

but now our astaro side is completely blind.  We cant access them in the same way and finding documentation on how is nonexistent.  so i ask what standard interface does astaro have beyond the basic snmp ( ram and cpu) that will allow us to get actionable information from all our ASGs and correlate that information across our enterprise.

Thank you.
  • Hopefully the upcoming Log Management product (backend support included in Version 8.200, with the cloud side of things being available a bit later) will be able to do this, or at least assist you with this; it collects logging data from ASGs and other systems (Cisco boxen, Servers, etc.) and you should be able to, at some point, use it to do what you're looking for.  I've looked at the beta, and it's not quite there yet, but they are working on it.
  • Not sure what you're asking.  There's a lot of information in Reporting, with lots of detail in Accounting that is, esentially, Netflow data organized and presented to provide information.

    Or, maybe you're asking about a feature giving access to netflow information that's planned for V9.0 next year - Reporting: monitor bandwidth via netflow/ipfix

    Perhaps you could state your question in terms of the problem you want to solve instead of in terms of a solution that the rest of us might not have found need for?

    Cheers - Bob
  • Note that the packetfilter logs are IPTables logs, which many tools can read.

    You can download them from the firewall or you can have the firewall automatically copy them to another server.

    Barry
  • Thank you Barry, what tool would you suggest i use i get that information from astaro to managed engine firewall analyzer ? 

    Basically we want to pole the astaro the way we pole the cisco firewalls.  we collect almost every piece of information that the ciscos collect.  

    I really hope 8.3 brings some more big changes to reporting because finding information on specific ips or users isnt as easy like with untankled or meraki.

    Thank you.
  • It's hard to answer questions like "How do I do what XYZ does?"  Others here may know an easy way to get an answer to "How do I see if ABC is occuring?" and not know that's what you meant with your question.  What information on IPs and Users were you looking for?

    Cheers - Bob
  • Hi, Astaro can copy the logs nightly to an SMB or FTP server, or you can use a syslog server for real-time log copying, or you can download them with SCP.

    Barry
  • In reply to BarryG:

    Hi Barry.  Can you point me to a guide or FAQ to do this. 

    Basically  i am facing a uphill battle at work.   we are a crew of 3 , two are system admins and one is a network admin.  we recently got a new boss and he is a cisco guy.  The network guy was just hired too and he doesnt know much about anything that isnt cisco.  The two system guys have been taking care  of our firewall needs and we can do alot with astaro but certain things are challenges.  

    The network guy and the new boss dont like astaro for the following reasons. 
    1. the support sucks ( i agree with them, it slow and when we have things like lock ups we are often told by astaro support they dont know what the problem is , we also have to wait on hold or wait for hours for call backs).
    2. It does alot in one box ( they dont like the fact it does so much and they rather have multiple devices doing what the one box does).
    3.Its running on a dell server 
    4. It isnt a cisco asa , a cisco iron port or a cisco web application security appliance.
    5. they cant get instant information about exactly what IP on our network is using the most bandwith in realtime or detailed reports about a specific IPs network usage. 

    I know for a fact that if something goes wrong with a cisco ASA only the network guy can fix it and us system guys will be twiddling our thumbs or making things worse because ASDM ( ciscos GUI) doesnt make sense to us when things are working fine much less when thigns are wrong.
  • 1. Even with Platinum/Premium support, it's quicker/better to start with submitting a support request via the web form.  In my experience, the same is true with IBM, HP,etc. unless you pay an additional $100K/yr for managed support.  For all of my customers, I always pre-arrange access for an Astaro Support Engineer.  I include WebAdmin login information in the support request and send the password in an email response to the acknowledgement that Astaro sends immediately.
    2. Why aren't you running in Hot-Standby?  Or, are these guys also opposed to SANs?
    3. I don't like Dell either, but, see 2.
    4. Not much to say about that! Smile
    5. What decisions can be based on this that can't be made with the reporting already available?

    You might ask your reseller to arrange an Astaro demo (done by one of the Astaro pre-sales engineers) for your new boss.  A half-hour of his time would not be wasted on that.

    Cheers - Bob
    PS re 5. - What about the Bandwidth Monitor?  Just left-click on the bandwidth bar on the Dashboard.
  • In reply to vannyx:

    Hi Barry.  Can you point me to a guide or FAQ to do this. 


    Hi, have you looked at the manual already? (via webmin or at
    https://support.astaro.com/support/index.php/Category:Manuals )

    Also, there is discussion about log management in these forums; e.g. 
    https://www.google.com/search?q=astaro+log+archives+smb+OR+cifs+OR+scp+OR+ftp

    Barry
  • In reply to BAlfson:

    We also have same requirement.

     

    We need a simple userwise websites visited report for a particular period. There is no straight way of getting it.

     

    WE have several SOphos devices XG series . And getting such reports is a pain. If there is a solution available we would be glad to take it.

  • In reply to Chandrashekhar Dahale:

    Hi and welcome to the UTM Community!

    If you have an XG, you will want to post your question in the XG Firewall Community.

    Cheers - Bob