Вы можете настроить правила syslog для фильтрации данных, которые модуль log-collector будет передавать в UserGate SIEM для дальнейшей обработки и анализа.

Правила syslog отображаются в таблице раздела Настройки ➜ Сборщик логов ➜ Syslog. Вы можете управлять правилами syslog: изменять, удалять, а также включать и отключать их. Для этого используются соответствующие кнопки в панели инструментов. Также вы можете фильтровать правила в таблице по состоянию. Так, например, можно просмотреть только правила во включенном состоянии, применив фильтр Показать включенные.

Порядок расположения правил syslog в таблице соответствует порядку их применения к записям журналов событий по стандарту syslog. При необходимости вы можете изменять порядок с помощью кнопок Наверх, Выше, Ниже, Вниз.

Чтобы настроить правило syslog:

1. В разделе Настройки ➜ Сборщик логов ➜ Syslog нажмите Добавить.

2. На вкладке Общие выполните следующие действия:

Включите правило syslog.
Укажите название и при необходимости описание правила syslog.
Выберите действие по срабатыванию правила syslog (Разрешить — отправлять запись в UserGate SIEM, Запретить — не отправлять запись в UserGate SIEM).
Укажите часовой пояс правила syslog относительно UTC в секундах (по умолчанию — UTC+0). Указанный часовой пояс будет использоваться для отображения времени событий в UserGate SIEM.

Выберите расположение правила в таблице правил syslog.

3. На соответствующих вкладках укажите необходимые параметры для фильтрации записей журналов событий:

На вкладке Критичность по кнопке Добавить выберите уровни важности событий, записи о которых следует отправлять в UserGate SIEM. При установке флажка Инвертировать (соответствует логическому отрицанию) выбранные уровни важности будут исключены из условий срабатывания правила syslog.
На вкладке Объект по кнопке Добавить выберите подсистемы, службы и сервисы, записи которых следует отправлять в UserGate SIEM. При установке флажка Инвертировать (соответствует логическому отрицанию) выбранные объекты будут исключены из условий срабатывания правила syslog.
На вкладке Имя хоста по кнопке Добавить укажите IP-адреса и доменные имена сетевых устройств, записи которых следует отправлять в UserGate SIEM.
На вкладке Название приложения укажите системные приложения, записи которых следует отправлять в UserGate SIEM. Вы можете выбрать эти приложения по кнопке Добавить из библиотеки приложений syslog или добавить новые приложения по кнопке Создать и добавить новый объект.