Функция экспортирования журналов LogAn позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security Information and Event Management).

UserGate LogAn поддерживает выгрузку следующих журналов:

Журнал DNS;
Журнал событий;
Журнал веб-доступа;
Журнал СОВ;
Журнал АСУ ТП;
Журнал инспектирования SSH;
Журнал трафика;
Журнал событий конечных устройств;
Журнал правил конечных устройств;
Приложения конечных устройств;
Аппаратура конечных устройств.

Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию или разово (кнопка Послать разово). Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.

Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.

При создании конфигурации требуется указать следующие параметры:

Наименование	Описание
Название правила	Название правила экспорта журналов.
Описание	Опциональное поле для описания правила.
Параметры разового экспорта	Выбор диапазона экспорта журналов. Опция доступна в версии ПО 7.2.0 и выше.
Журналы для экспорта	Выбор файлов журналов, которые необходимо экспортировать: Журнал DNS; Журнал событий; Журнал веб-доступа; Журнал СОВ; Журнал АСУ ТП; Журнал инспектирования SSH; Журнал трафика; Журнал событий конечных устройств; Журнал правил конечных устройств; Приложения конечных устройств; Аппаратура конечных устройств. Для каждого из журналов возможно указать синтаксис выгрузки: CEF — Common Event Format (ArcSight); JSON — JSON format; @CEE: JSON — CEE Log Syntax (CLS) Encoding JSON. Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов. Подробное описание форматов журналов читайте в Приложение 2. Описание форматов журналов.
Тип сервера	SSH (SFTP), FTP, Syslog.
Адрес сервера	IP-адрес или доменное имя сервера.
Транспорт	Только для типа серверов Syslog — TCP или UDP.
Порт	Порт сервера, на который следует отправлять данные.
Протокол	Только для типа серверов Syslog — RFC5424 или BSD Syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.
Критичность	Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: Тревога: состояние, требующее незамедлительного вмешательства; Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе; Ошибки: в системе возникли ошибки; Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия; Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками; Информативная: информационные сообщения.
Объект	Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: Сообщения пользовательские; Системный сервис; Безопасность/авторизация; Аудит; Тревога; Local 0; Local 1; Local 2; Local 3; Local 4; Local 5; Local 6; Local 7.
Имя хоста	Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер Syslog, в формате Fully Qualified Domain Name (FQDN).
App-Name	Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер Syslog.
Логин	Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Пароль	Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Повторите пароль	Подтверждение пароля учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Путь на сервере	Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.
Расписание	Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты: Ежедневно; Еженедельно; Ежемесячно; Каждые … часов; Каждые … минут; Задать вручную. При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего); Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7; Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23"; Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа.