Логирование

В настоящем разделе представлено описание подраздела «Логирование», предусматривающего механизм управления следующими функциями:

  • настройка глобального журнала;

  • экспорт логов в файл;

  • экспорт логов на удалённый сервер (syslog).

Для перехода в подраздел «Логирование» необходимо выполнить следующие действия:

  1. В списке источников открыть карточку необходимого источника «NGFW».

  2. В карточке источника выбрать модуль «Системные настройки».

  3. В разделе «Системные настройки» перейти в подраздел «Логирование» (см. Рисунок – Системные настройки).

../../../../_images/ngfw.r.web.logging_0.1.png

Рисунок – Системные настройки

Применение и сохранение настроек логирования

После завершения настройки всех необходимых параметров в подразделе «Логирование» необходимо сохранить внесённые изменения. Для этого следует нажать кнопку «Сохранить», расположенную в правом верхнем углу заголовка раздела «Системные настройки».

После нажатия кнопки откроется окно подтверждения «Сохранить изменения конфигурации», в котором отображается список подразделов, затронутых внесёнными изменениями. Для продолжения и применения настроек необходимо подтвердить действие, нажав кнопку «Сохранить» в данном окне (см. Рисунок – Применение и сохранение настроек).

Только после успешного подтверждения все изменения будут сохранены и активированы в текущей конфигурации системы ARMA Стена.

../../../../_images/ngfw.r.web.system_0.2.png

Рисунок – Применение и сохранение настроек

При необходимости отменить все неприменённые настройки следует нажать кнопку «Отмена», расположенную в верхнем правом углу заголовка раздела «Системные настройки». В этом случае конфигурация подраздела «Логирование» будет откатана к последнему сохранённому состоянию.

Настройки глобального журнала

В блоке «Глобальный лог» представлены параметры конфигурации глобального журнала (см. Рисунок – Настройки глобального журнала):

  • Максимальный размер глобального лог-файла - задаёт максимальный объём дискового пространства, выделяемого для хранения всех лог-файлов в локальном хранилище, в гигабайтах. Возможно указать значение в диапазоне от «1» до «100». По умолчанию используется значение «10» Гб.

  • Сертификат (SSL) - позволяет выбрать клиентский SSL-сертификат из числа установленных в системе ARMA Стена, который будет использоваться для шифрования трафика при удалённой передаче логов по протоколу TLS.

  • Сертификат удостоверяющего центра (CA) - предоставляет возможность выбора CA-сертификата из числа установленных в системе ARMA Стена, который применяется для проверки подлинности сервера, принимающего логи по защищённому SSL-соединению.

../../../../_images/ngfw.r.web.logging_1.1.png

Рисунок – Настройки глобального журнала

Экспорт логов в файл

Для настройки экспорта логов в файл необходимо выполнить следующую последовательность действий:

  1. Нажать кнопку «+ Добавить» в таблице «Экспорт логов в файл» (см. Рисунок – Экспорт логов в файл).

  2. В появившейся боковой панели «Добавление файла экспорта логов» указать имя файла. Имя файла должно соответствовать следующим требованиям:

    • максимальная длина — 247 символов;

    • допустимые символы: латинские буквы, цифры, а также символы «-», «.», «_»;

    • имя не может начинаться с символов «-» или «.».

  3. В блоке «Логируемые приложения» выбрать одно или несколько приложений, события которых подлежат экспорту в указанный файл. Выбор приложения осуществляется из выпадающего списка «Приложение». После выбора приложения становятся доступны дополнительные поля конфигурации, позволяющие задать параметры фильтрации событий (например, по типу события, уровню логирования и другим атрибутам). Это обеспечивает возможность тонкой настройки состава экспортируемых данных. Для добавления дополнительного приложения требуется повторно нажать кнопку «+ Добавить». Перечень поддерживаемых приложений приведён в таблице «Экспортируемые приложения». Если уровень логирования для выбранного приложения не задан явно, в файл будут записываться все события данного приложения в соответствии с текущими системными настройками уровня логирования.

Таблица «Экспортируемые приложения»

Приложение

Уровень логирования по умолчанию

arma-endpoint

informational

conntrack

informational

conntrack-sync

informational

console-server

informational

dhcp: client

informational

dhcp: server

informational

dhcpv6: client

informational

dhcpv6: server

informational

dns: dynamic

informational

dns: forwarding

informational

drweb: config

notice

drweb: http

notice

drweb: icapd

notice

drweb: netcheck

notice

drweb: scan-engine

notice

drweb: update

notice

drweb: url-check

notice

firewall

-

http-api

informational

https

notice

idps: engine

notice

idps: rules

notice

idps: server

notice

idps: update-rules

notice

ipoe-server

informational

kernel

-

lldp

informational

login

informational

nat

-

ntp

informational

pppoe

debug

pppoe-server

informational

snmp

warning

ssh

debug

systemd

informational

users

-

vpn: ipsec

informational

vpn: l2tp

informational

vpn: openconnect

informational

vpn: openvpn

informational

vpn: pptp

informational

vpn: sstp

informational

vpn: wireguard

informational

vrrp

informational

webproxy

informational

  1. Настроить ротацию файлов установив следующие параметры:

    • Максимальный размер файла - указать максимальный размер файла в мегабайтах. Возможно указать значение в диапазоне от «1» до «1024». По умолчанию значение установлено на 5 мегабайт.

    • Количество сохраняемых файлов - указать максимальное количество файлов. Возможно указать значение в диапазоне от «1» до «100». По умолчанию значение равно «5».

    При достижении указанного максимального размера текущего файла создаётся новый файл для записи. При превышении заданного количества файлов ротация продолжается с перезаписью наиболее старых файлов.

  2. По завершению настроек нажать кнопку «Сохранить».

../../../../_images/ngfw.r.web.logging_2.1.png

Рисунок – Экспорт логов в файл

Примечание

Log-файлы сохраняются в каталоге /var/log/user/.

Примечание

Возможно создать не более 64 файлов логирования.

Для редактирования настроек необходимо нажать ЛКМ на нужном файле в разделе «Экспорт логов в файл» и в открывшейся боковой панели внести изменения. По завершению изменений нажать кнопку «Сохранить».

Для удаления настроек необходимо выбрать один или несколько файлов, установив флажок в чек-боксе слева от имени файла, и нажать кнопку «Удалить». В открывшемся диалоговом окне подтвердить удаление нажатием кнопки «Удалить» (см. Рисунок – Подтверждение удаление файла).

../../../../_images/ngfw.r.web.logging_2.2.png

Рисунок – Подтверждение удаление файла

Поддерживается сквозной поиск по всем полям таблицы «Экспорт логов в файл». Для выполнения поиска необходимо ввести искомое значение в поле «Поиск». Поиск осуществляется по содержимому всех столбцов таблицы.

Экспорт логов на удалённый сервер (syslog)

Система ARMA Стена предоставляет возможность настройки передачи выбранных журналов событий на удалённый сервер регистрации с использованием протокола Syslog.

Для настройки экспорта логов необходимо выполнить следующие действия:

  1. В таблице «Экспорт логов на удалённый сервер (syslog)» нажмите кнопку «+ Добавить».

  2. В открывшемся окне необходимо указать параметры подключения к серверу и настроить фильтрацию экспортируемых событий (см. Рисунок – Добавление удалённого сервера для экспорта логов):

  • «Имя / Адрес (IPv4) сервера» - идентификатор удалённого сервера. Указывается в виде IPv4-адреса в формате «x.x.x.x» или имени хоста. Максимальная длина строки — 63 символа. Имя хоста должно содержать только латинские буквы, цифры, а также символы точка «.» и дефис «-». Не допускается начинать имя с символов «-» и «.».

  • «Порт» - номер TCP/UDP-порта, используемого сервером для приёма сообщений. Возможно указать значение в диапазоне от «1» до «65535». По умолчанию используется значение «514».

  • «Протокол» - тип транспортного протокола для передачи данных. Возможно указать значение: «UDP» или «TCP». По умолчанию используется протокол «TCP».

  • «Использовать шифрование TLS» - флаг, определяющий необходимость использования защищённого канала передачи данных.

  • «Формат сообщений журнала (syslog)» - формат представления логируемых записей. Поддерживаются значения: «RFC 3164», «CEF».

  • «Режим аутентификации» - способ проверки подлинности клиента. Поддерживаемые режимы: «Анонимная» — без проверки подлинности, «По сертификату x509-name» — с использованием клиентского X.509 сертификата.

  • «Логируемые приложения» - блок, предназначенный для выбора приложений, события которых будут передаваться на удалённый сервер. Для добавления приложения необходимо выбрать нужное значение из выпадающего списка «Приложение». После выбора приложения становятся доступны дополнительные поля, позволяющие задать параметры фильтрации событий данного приложения. Это позволяет настроить более узкий диапазон экспортируемых событий (например, по типу события, уровню серьёзности и другим характеристикам). При необходимости добавить ещё одно приложение требуется нажать кнопку «+ Добавить». Список доступных приложений представлен в таблице «Экспортируемые приложения».

  1. По завершению нажать кнопку «Сохранить».

../../../../_images/ngfw.r.web.logging_3.1.png

Рисунок – Добавление удалённого сервера для экспорта логов

Для редактирования настроек необходимо нажать ЛКМ на нужном сервере в разделе «Экспорт логов на удалённый сервер (syslog)» и в открывшейся боковой панели внести изменения. По завершению изменений нажать кнопку «Сохранить».

Для удаления настроек необходимо выбрать один или несколько серверов, установив флажок в чек-боксе слева от имени сервера, и нажать кнопку «Удалить». В открывшемся диалоговом окне подтвердить удаление нажатием кнопки «Удалить».

Сквозной поиск по полям таблицы «Экспорт логов на удалённый сервер (syslog)» осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по столбцам «Имя / Адрес (IPv4)» и «Приложения».