# Logs

Die Log-Übersicht bietet dir einen Überblick über alle Netzwerkverbindungen, für die ein Shield-Regelwerk wirksam geworden ist.

{% hint style="danger" %}
Damit hier Werte angezeigt werden können, musst du die Option **Enginsight Shield (IPS)** in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md) oder unter **Hosts** → **Policy Manager** mit einer [entsprechenden Richtlinie](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips) aktivieren.
{% endhint %}

***

<i class="fa-compass">:compass:</i> Navigiere zu **Shield** → **Logs,** um eine Liste aller durch ein Shield-Regelwerk verworfenen und blockierten Netzwerkverbindungen anzuzeigen. Wenn noch kein Shield-Regelwerk wirksam wurde, ist diese Ansicht leer.

{% hint style="info" %}
Erlaubte und damit als vertrauenswürdig eingestufte Netzwerkverbindungen werden hier nicht angezeigt.
{% endhint %}

<figure><img src="/files/coOFXJ5dQ5luV4acruaK" alt=""><figcaption></figcaption></figure>

Du kannst der Log-Übersicht unter anderem entnehmen:

* welches Shield-Regelwerk mit welcher Aktion wirksam geworden ist.&#x20;
* welche Quell- und Ziel-IP-Adresse die Netzwerkverbindung hat, für die ein Shield-Regelwerk wirksam geworden ist.
* ob es sich bei der Netzwerkverbindung um ausgehenden oder eingehenden Netzwerkverkehr handelt.
* welcher Port auf welchem Host von dem Shield-Regelwerk betroffen war.

Des Weiteren hast du hier die Möglichkeit, [Start- und Endzeitpunkt](#start-und-endzeitpunkt-festlegen) für die Betrachtung festzulegen und verworfene oder blockierte Netzwerkverbindungen explizit zu erlauben.

***

## Navigation

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <i class="fa-magnifying-glass">:magnifying-glass:</i> **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aktualisieren**-Symbol <i class="fa-arrows-rotate-reverse">:arrows-rotate-reverse:</i> oberhalb der Liste, um alle Listenelemente zu aktualisieren.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\
Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln.&#x20;

### Start- und Endzeitpunkt festlegen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-calendar-days">:calendar-days:</i> **Startzeitpunkt** bzw. <i class="fa-calendar-days">:calendar-days:</i> **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl.

{% tabs %}
{% tab title="Relativer Zeitraum" %}
Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen.

<div align="left"><figure><img src="/files/r57QiEZwtvSqh1GG7vRE" alt="" width="236"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus.

Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt.

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}

{% tab title="Absoluter Zeitraum" %}
Wähle ein Datum aus der Kalenderansicht aus.

<div align="left"><figure><img src="/files/HzeQylEhWTQpSlSm7nNz" alt="" width="164"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke optional auf <i class="fa-clock">:clock:</i> **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus.&#x20;

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}
{% endtabs %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-arrow-rotate-left">:arrow-rotate-left:</i> **Zurücksetzen** in der rechten oberen Ecke, um die vorgenommenen Einstellungen für den betrachteten Zeitraum zurückzusetzen.

### Liste filtern

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

<details>

<summary>Verfügbare Filter</summary>

<table><thead><tr><th width="206.60546875">Parameter</th><th width="116.515625">Art</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktion</td><td>String</td><td>Filtere danach, ob eine Netzwerkverbindung verworfen (<strong>Drop</strong>) oder geblockt (<strong>Reject</strong>) wurde. </td></tr><tr><td>Host</td><td>String</td><td>Filtere nach einem bestimmten Host, auf dem ein Shield-Regelwerk wirksam geworden ist, oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Hosts angezeigt.</td></tr><tr><td>Mikrosegment</td><td>String</td><td>Filtere nach einem bestimmten Mikrosegment-Regelwerk, durch das eine Netzwerkverbindung verworfen oder geblockt wurde, oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren Mikrosegment-Regelwerke angezeigt.</td></tr><tr><td>Quelle</td><td>String</td><td>Filtere nach einer bestimmten IP-Adresse, die der Startpunkt einer Netzwerkverbindung ist, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren IP-Adressen angezeigt.</td></tr><tr><td>Regelwerk</td><td>String</td><td>Filtere nach einem bestimmten manuellen Regelwerk, durch das eine Netzwerkverbindung verworfen oder geblockt wurde, oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren manuellen Regelwerke angezeigt.</td></tr><tr><td>Richtlinie</td><td>String</td><td>Filtere nach einem bestimmten automatischen Regelwerk (Autopiloten), durch das eine Netzwerkverbindung verworfen oder geblockt wurde, oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren automatischen Regelwerke angezeigt.</td></tr><tr><td>Richtung</td><td>String</td><td>Filtere danach, ob es sich bei einer Verbindung um eingehenden Netzwerkverkehr (<strong>Incoming</strong>) oder ausgehenden (<strong>Outgoing</strong>) Netzwerkverkehr handelt.</td></tr><tr><td>Ziel</td><td>String</td><td>Filtere nach einer bestimmten IP-Adresse, die der Endpunkt einer Netzwerkverbindung ist, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren IP-Adressen angezeigt.</td></tr></tbody></table>

</details>

### Listenelemente sortieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke im Tabellenkopf auf das **Sortieren**-Symbol <i class="fa-sort">:sort:</i> neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge <i class="fa-angle-up">:angle-up:</i> oder in absteigender Reihenfolge <i class="fa-chevron-down">:chevron-down:</i> zu sortieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Sortieren**-Symbol <i class="fa-bars-sort">:bars-sort:</i> oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern.

***

## Logs: Übersicht

<figure><img src="/files/3l0uGFeJeaL2XVywW2Sf" alt=""><figcaption></figcaption></figure>

Die Log-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

<table><thead><tr><th width="200.27734375">Spalte</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Host</td><td>Zeigt den Namen des Hosts, auf dem das entsprechende Shield-Regelwerk wirksam geworden ist.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf einen Host-Namen, um zur jeweiligen <a href="/pages/2A0M45TxgQaeD6tpDIkK">Host-Detailansicht</a> zu navigieren.</td></tr><tr><td>Aktion</td><td><p>Zeigt die Aktion, die mit der Netzwerkverbindung durchgeführt wurde, sowie die Anzahl, wie oft die Aktion im entsprechenden Kontext durchgeführt wurde.<br><br>Folgende Aktionen können angezeigt werden:</p><ul><li><strong>Verwerfen (Drop)</strong>: Die Verbindung wird nicht zugelassen, ohne dass eine Antwort an das Quellsystem gesendet wird.</li><li><strong>Blockieren (Reject)</strong>: Die Verbindung wird aktiv unterbunden. Dabei wird eine entsprechende, negative Antwort an das Quellsystem gesendet.</li></ul></td></tr><tr><td>Richtung</td><td><p>Zeigt die Richtung des Netzwerkverkehrs an.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Spalte enthält keinen Wert, wenn die Richtung der Datenübertragung nicht eindeutig bestimmt werden kann. Dies ist z.B. bei Docker-Containern der Fall, die Broadcast-Datenpakete an alle Geräte in einem lokalen Netzwerk senden.</p></div><p>Folgende Richtungen können angezeigt werden:</p><ul><li><i class="fa-arrow-right-to-line">:arrow-right-to-line:</i> <strong>(Ausgehend)</strong>: Daten werden von innerhalb des Netzwerks an externe Ziele gesendet.</li><li><i class="fa-arrow-left-to-line">:arrow-left-to-line:</i> <strong>(Eingehend)</strong>: Daten werden von außerhalb des Netzwerks an interne Ziele gesendet.</li></ul></td></tr><tr><td>Protokoll</td><td>Zeigt das Transportprotokoll an, das die Netzwerkverbindung für die Übertragung von Datenpaketen verwendet.</td></tr><tr><td>Ports</td><td>Zeigt eine oder mehrere Portnummern, über die die entsprechende Netzwerkverbindung aufgebaut wurde.</td></tr><tr><td>Quelle</td><td>Zeigt die IPv4- oder IPv6-Adresse, die der Startpunkt der entsprechenden Netzwerkverbindung ist.</td></tr><tr><td>Ziel</td><td>Zeigt die IPv4- oder IPv6-Adresse, die der Endpunkt der entsprechenden Netzwerkverbindung ist.</td></tr><tr><td>Regelwerke</td><td>Zeigt die manuellen Regelwerke, automatischen Regelwerke (Autopilot) oder die Regelwerke für Mikrosegmente, durch die die entsprechende Netzwerkverbindung jeweils verworfen oder blockiert wurde.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Namen eines Regelwerks, um zur jeweiligen Bearbeitungsansicht zu gelangen.<br><br>Automatische Regelwerke enthalten zusätzlich ein graues Informations-Symbol  <i class="fa-circle-info">:circle-info:</i>. Fahre mit dem Mauszeiger darüber, um zu erfahren, welche Art von Netzwerkattacke genau blockiert wurde.</td></tr><tr><td>Erstellt am</td><td>Zeigt das Datum und die Uhrzeit, an dem der Log-Eintrag erstellt wurde.</td></tr><tr><td>Aktionen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Erlauben</strong>, um die entsprechende <a href="#netzwerkverbindung-erlauben">Netzwerkverbindung zuzulassen</a> und damit als vertrauenswürdig einzustufen. Es öffnet sich ein neues Fenster, in dem du direkt ein manuelles Regelwerk erstellen kannst.</td></tr></tbody></table>

***

## Netzwerkverbindung erlauben

<i class="fa-eye">:eye:</i> Dieses Fenster wird nur angezeigt, wenn du in der Log-Übersicht neben einem Listenelement auf **Erlauben** klickst.

<div align="left"><figure><img src="/files/RtqHkds81diFVFP2kQuB" alt="" width="394"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Manuelles Regelwerk hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue manuelle Shield-Regelwerk zu speichern und erstellen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Manuelles Regelwerk hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

### Grundeinstellungen

<table><thead><tr><th width="199.9609375">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td><p>Gib dem Regelwerk einen aussagekräftigen Namen oder lasse den vordefinierten Namen stehen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig angegebene Name ist folgendermaßen aufgebaut: <strong>Quick [vordefinierte Aktion] [Quell-IP-Adresse]</strong>.</p></div></td></tr><tr><td>Aktion</td><td><p>Lege eine Aktion fest, die für die Netzwerkverbindung durchgesetzt werden soll, die die Netzwerkanomalie ausgelöst hat.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Aktion ist <strong>Erlauben</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Aktion</strong>, um eine Liste aller verfügbaren Aktionen auszuklappen.</p><p></p><p>Folgende Aktionen stehen zur Verfügung:</p><ul><li><strong>Erlauben</strong>: Die betroffene Verbindung wird als vertrauenswürdig eingestuft und damit zugelassen. Für sie wird im Hintergrund ein Whitelist-Eintrag erstellt.</li><li><strong>Verwerfen (Drop)</strong>: Die betroffene Verbindung wird nicht zugelassen. Es wird dabei keine Antwort an das Quellsystem gesendet.</li><li><strong>Blockieren (Reject)</strong>: Die betroffene Verbindung wird aktiv unterbunden. Dabei wird eine entsprechende, negative Antwort an das Quellsystem gesendet.</li></ul><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Regelwerke, die Netzwerkverbindungen erlauben, überschreiben stets alle Regelwerke, die die entsprechenden Verbindungen verwerfen oder blockieren!</p></div></td></tr><tr><td>Protokolle</td><td><p>Lege ein oder mehrere Transportprotokolle fest, die die Netzwerkverbindung, für die die Aktion gelten soll, näher definieren.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig angegebenen Protokolle sind <strong>Alle Protokolle</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Protokolle</strong>, um eine Liste aller verfügbaren Protokolle auszuklappen. Wähle ein Protokoll, mehrere Protokolle oder die Option <strong>Alle Protokolle</strong> aus.</p></td></tr></tbody></table>

### Quellen

Gib die Quelle (IP-Adressbereich oder Domain-Name) für die Netzwerkverbindung an, für die das manuelle Regelwerk gelten soll.&#x20;

{% hint style="warning" %}
**Bitte beachte**: Wenn du keine Quellen definierst, gilt das Regelwerk immer für alle Quell-IP-Adressen (IPv4 0.0.0.0/0 und IPv6 ::/0).&#x20;
{% endhint %}

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.921875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktion</td><td><p>Lege fest, ob du die Quelle über ein Subnetz oder über einen Domain-Namen angeben möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Aktion ist <strong>CIDR</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Aktion</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>CIDR</strong>: Gib als Quelle ein Subnetz in Classless Inter-Domain Routing (CIDR)-Notation an.</li><li><strong>FQDN</strong>: Gib als Quelle einen vollständigen Domain-Namen (Fully Qualified Domain Name; FQDN) an.</li></ul></td></tr><tr><td>CIDR</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Aktion</strong> die Option <strong>CIDR</strong> ausgewählt wurde.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig eingetragene CIDR ist das Subnetz des in der Log-Übersicht ausgewählten Listenelements.</p></div><p>Gib ein Subnetz in Classless Inter-Domain Routing (CIDR)-Notation an. Mehr Informationen zu möglichen Notationen erhältst du hier: <a href="/pages/ypnvncQhIQCt2IACvn3y">Angabe von IP-Adressbereichen und Subnetzen</a></p></td></tr><tr><td>FQDN</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Aktion</strong> die Option <strong>FQDN</strong> ausgewählt wurde.</p><p></p><p>Gib einen vollständigen Domain-Namen (Fully Qualified Domain Name; FQDN) inklusive aller Sub-Domänen an, z.B. <em>hostname.in.domain</em>. </p></td></tr><tr><td>Löschen</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Löschen</strong>-Symbol <i class="fa-trash">:trash:</i> um deine Eingaben zu entfernen.</td></tr></tbody></table>

### Ziele

Gib das Ziel (Subnetz oder Domain-Name) für die Netzwerkverbindung an, für die das manuelle Regelwerk gelten soll.

{% hint style="info" %}
Die standardmäßig ausgewählte Aktion ist **CIDR**, wobei das Subnetz des in der Log-Übersicht angezeigten Zieles bereits im Feld eingetragen ist.
{% endhint %}

<i class="fa-gear">:gear:</i> Nimm alle Einstellungen wie bei der Angabe der Quelle vor.

### Zugeordnete Hosts

Lege fest, für welche Hosts oder Gruppen von Hosts das manuelle Regelwerk gelten soll. Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.16796875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Host-Zuordnung</td><td><p>Lege fest, ob du Hosts über ihren Namen oder über Tags dem Regelwerk zuordnen möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Die standardmäßig ausgewählte Host-Zuordnung ist <strong>Referenz</strong>.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Host-Zuordnung</strong>, um eine Liste aller verfügbaren Optionen auszuklappen.<br><br>Folgende Optionen stehen zur Verfügung:</p><ul><li><strong>Tags</strong>: Wähle Hosts über ihre zugeordneten Tags aus.</li><li><strong>Referenz</strong>: Wähle Hosts über ihren Namen aus.</li></ul></td></tr><tr><td>Hosts</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Host-Zuordnung</strong> die Option <strong>Referenz</strong> ausgewählt wurde.<br></p><p>Lege Hosts fest, die dem manuellen Regelwerk zugeordnet werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Der standardmäßig ausgewählte Host ist der des in der Log-Übersicht ausgewählten Listenelements.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <strong>Hosts</strong>, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.<br></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Host, um ihn aus dem Feld <strong>Hosts</strong> zu entfernen.</p></td></tr><tr><td>Tags</td><td><p><i class="fa-eye">:eye:</i> Diese Option ist nur sichtbar, wenn im Feld <strong>Host-Zuordnung</strong> die Option <strong>Tags</strong> ausgewählt wurde.</p><p></p><p>Lege Tags für Gruppen von Hosts fest, die dem manuellen Regelwerk zugeordnet werden sollen.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Tags</strong>, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.<br></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das <strong>Entfernen</strong>-Symbol <i class="fa-circle-xmark">:circle-xmark:</i> neben einem hinzugefügten Tag, um ihn aus dem Feld <strong>Tags</strong> zu entfernen.</p></td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/shield/logs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.