Сервис Syslog

Syslog – это стандарт отправки и регистрации сообщений о происходящих в системе событиях, используемый для удобства администрирования и обеспечения ИБ.

ARMA FW позволяет отправлять события безопасности модулей МЭ, СОВ, события контроля целостности, события аутентификации, события портала авторизации пользователей, события службы NTP, службы Arpwatch, службы веб-сервера, прокси-сервера, системные события на внешний syslog-сервер или в SIEM-системы, а также в единый центр управления ARMA MC.

Процесс подключения ARMA FW к ARMA MC описан в разделе «Подключение к ARMA MC» Руководства администратора ARMA FW.

Настройка экспорта событий syslog

Для настройки экспорта событий необходимо выполнить следующие действия:

  1. Перейти в настройки экспорта событий системы («Система» - «Настройки» - «Экспорт событий») и во вкладке «Получатели» нажать кнопку «bttn.plus».

  2. В открывшейся форме (см. Рисунок – Добавление получателя внешнего syslog-сервера) выбрать значения параметров:

  • «Транспортный протокол»;

  • «Формат»;

  • «Приложения»;

  • «Уровни»;

  • «Категории».

В параметрах «Приложения», «Уровни» и «Категории» значение «Не выбрано» означает выбор всех значений.

../../../_images/fw.rp.syslog.1.1.png

Рисунок – Добавление получателя внешнего syslog-сервера

  1. Задать доменное имя и порт удалённого syslog-сервера в параметрах «Имя хоста» и «Порт» соответственно. Номер порта рекомендуется изменять только в тех случаях, когда отправка сообщений от ARMA FW будет происходить через порт, заданный в настройках удалённого syslog-сервера и отличный от стандартного 514.

  2. Нажать кнопку «Сохранить», а затем нажать кнопку «Применить».

Проверка экспорта событий syslog

Для проверки работы экспорта событий необходимо выполнить подключение к syslog-серверу и удостовериться в наличии событий от ARMA FW. В качестве syslog-сервера возможно использовать стороннее ПО, например, «Visual Syslog». В примере ниже ARMA FW подключён к продукту ARMA МС.

События от ARMA FW отображаются в журнале событий ARMA МС («Журналы» - «События») (см. Рисунок – Журнал событий ARMA Management Console).

В ARMA FW просмотр информации о переданных сообщениях осуществляется во вкладке «Статические данные» подраздела настройки экспорта событий («Система» - «Настройки» - «Экспорт событий») (см. Рисунок – Система: Настройки: Экспорт событий: Статистические данные).

../../../_images/fw.rp.syslog.2.1.png

Рисунок – Журнал событий ARMA Management Console

../../../_images/fw.rp.syslog.2.2.png

Рисунок – Система: Настройки: Экспорт событий: Статистические данные