Функция экспорта журналов UserGate позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию или разово (кнопка Послать разово). Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо в режиме администратора устройства создать правила экспорта журналов в разделе Журналы и отчеты ➜ Экспорт журналов.
ПримечаниеНастройки экспорта журналов не являются кластерными. Если UGMC работает в кластерной конфигурации, правила экспорта журналов создаются отдельно на каждом узле.
При создании конфигурации требуется указать следующие параметры:
Наименование
Описание
Названиеправила
Название правила экспорта журналов.
Описание
Опциональное поле для описания правила.
Журналы для экспорта
Выбор файлов журналов, которые необходимо экспортировать:
Журнал событий.
Для каждого из журналов возможно указать синтаксис выгрузки:
CEF — Common Event Format (ArcSight).
JSON — JSON format.
@CEE: JSON — CEE Log Syntax (CLS) Encoding JSON.
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.
Порт сервера, на который следует отправлять данные.
Протокол
Только для типа серверов Syslog — RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.
Критичность
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
Ошибки: в системе возникли ошибки.
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
Информативная: информационные сообщения.
Facility
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
Сообщения пользовательские.
Системный сервис.
Безопасность/авторизация.
Аудит.
Тревога.
Local 0.
Local 1.
Local 2.
Local 3.
Local 4.
Local 5.
Local 6.
Local 7.
Имя хоста
Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN).
App-Name
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog.
Логин
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Пароль
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
Путь на сервере
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.
В кластерной конфигурации UGMC при экспорте журналов с разных узлов кластера необходимо указывать разные каталоги на сервере для каждого узла UGMC, поскольку имена файлов журналов на каждом узле идентичны.
Расписание
Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
Ежедневно.
Еженедельно.
Ежемесячно
Каждые … часов.
Каждые … минут.
Задать вручную.
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Управление журналами
Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp.
При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временных файлах в кодировке UTF-8. Журналы за предыдущие дни (по количеству дней ротации) хранятся в виде архивов, журнал за текущий день не архивирован. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки.
ПримечаниеВозможно сохранение журнала администратором вручную непосредственно из веб-консоли. При этом данные сохраняется только в формате CSV.
