Функция экспортирования журналов LogAn позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security Information and Event Management).
UserGate LogAn поддерживает выгрузку следующих журналов:
Журнал DNS.
Журнал событий.
Журнал веб-доступа.
Журнал СОВ.
Журнал АСУ ТП.
Журнал инспектирования SSH.
Журнал трафика.
Журнал событий конечных устройств.
Журнал правил конечных устройств.
Приложения конечных устройств.
Аппаратура конечных устройств.
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию или разово (кнопка Послать разово). Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.
При создании конфигурации требуется указать следующие параметры:
Наименование
Описание
Названиеправила
Название правила экспорта журналов.
Описание
Опциональное поле для описания правила.
Параметры разового экспорта
Выбор диапазона экспорта журналов. Опция доступна начиная с релиза ПО 7.2.0.
Журналы для экспорта
Выбор файлов журналов, которые необходимо экспортировать:
Журнал DNS.
Журнал событий.
Журнал веб-доступа.
Журнал СОВ.
Журнал АСУ ТП.
Журнал инспектирования SSH.
Журнал трафика.
Журнал событий конечных устройств.
Журнал правил конечных устройств.
Приложения конечных устройств.
Аппаратура конечных устройств.
Для каждого из журналов возможно указать синтаксис выгрузки:
CEF — Common Event Format (ArcSight).
JSON — JSON format.
@CEE: JSON — CEE Log Syntax (CLS) Encoding JSON.
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.
Порт сервера, на который следует отправлять данные.
Протокол
Только для типа серверов Syslog — RFC5424 или BSD Syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.
Критичность
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
Ошибки: в системе возникли ошибки.
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
Информативная: информационные сообщения.
Объект
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
Сообщения пользовательские.
Системный сервис.
Безопасность/авторизация.
Аудит.
Тревога.
Local 0.
Local 1.
Local 2.
Local 3.
Local 4.
Local 5.
Local 6.
Local 7.
Имя хоста
Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер Syslog, в формате Fully Qualified Domain Name (FQDN).
App-Name
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер Syslog.
Логин
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Пароль
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Повторите пароль
Подтверждение пароля учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Путь на сервере
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.
Расписание
Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
Ежедневно.
Еженедельно.
Ежемесячно.
Каждые … часов.
Каждые … минут.
Задать вручную.
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.
