С помощью функции экспорта журналов вы можете выгружать информацию о работе системы на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).

UserGate SWG поддерживает выгрузку следующих журналов:

Журнал событий.
Журнал веб-доступа.
Журнал трафика.
Журнал DNS.
Журнал UserID.

Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP выполняется по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.

Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.

ПримечаниеЕсли в параметрах UserGate SWG указан Log Analyzer, то обработка и экспорт журналов, создание отчётов и обработка других статистических данных производятся сервером UserGate Log Analyzer.

При создании правила укажите необходимые параметры для экспорта журналов.

Параметр	Описание
Название правила	Название правила экспорта журналов
Описание	Опциональное поле для описания правила
Параметры разового экспорта	Выбор диапазона экспорта журналов
Журналы для экспорта	Выбор файлов журналов, которые необходимо экспортировать: Журнал событий. Журнал веб-доступа. Журнал трафика. Журнал DNS. UserID. Для каждого из журналов возможно указать синтаксис выгрузки: CEF — Common Event Format (ArcSight). CEF Compact. JSON — JSON format. @CEE: JSON — CEE Log Syntax (CLS) Encoding JSON. Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов. Подробное описание форматов журналов читайте в приложении Описание форматов журналов
Тип сервера	SSH (SFTP), FTP, Syslog
Адрес сервера	IP-адрес или доменное имя сервера
Транспорт	Только для типа серверов Syslog — TCP или UDP
Порт	Порт сервера, на который следует отправлять данные
Протокол	Только для типа серверов Syslog — RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM
Критичность	Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: Тревога: состояние, требующее незамедлительного вмешательства. Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе. Ошибки: в системе возникли ошибки. Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия. Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками. Информативная: информационные сообщения
Facility	Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: Сообщения пользовательские; Системный сервис; Безопасность/авторизация; Аудит; Тревога; Local 0; Local 1; Local 2; Local 3; Local 4; Local 5; Local 6; Local 7
Имя хоста	Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN)
App-Name	Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog
Логин	Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog
Пароль	Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog
Путь на сервере	Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog
Расписание	Выбор расписания для отправки журналов. Не применяется к методу отправки Syslog. Вы можете выбрать одно из предустановленных значений расписания или указать время вручную в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. При ручном вводе также можно использовать следующие символы: Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что экспорт журналов должен выполняться каждый час. Дефис (-) — для указания диапазона значений. Запятая (,) — в качестве разделителя значений. Косая черта (/) — для указания шага между значениями
Управление журналами	Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp. При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временные файлы. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки. Всего хранятся N архивов журналов за предыдущие дни (по количеству дней ротации) и один журнал за текущий день