Описание

SIEM журналирует все события, которые происходят во время его работы и работы подключенных к нему серверов, и записывает их в следующие журналы:

• Журнал событий — содержит события, связанные с изменением настроек серверов, подключенных к SIEM, авторизацией пользователей, администраторов, обновлениями различных списков и т.п.

• Журнал веб-доступа — подробный журнал всех веб-запросов, обработанных SIEM.

• Журнал DNS — содержит события, связанные с DNS трафиком. 

• Журнал трафика — подробный журнал срабатываний правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy-based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах межсетевого экрана, NAT, DNAT, Port forwarding, Policy-based routing.

• Журнал СОВ — содержит события, регистрируемые системой обнаружения и предотвращения вторжений.

• Журнал АСУ ТП — содержит события, регистрируемые правилами контроля АСУ ТП.

• Журнал инспектирования SSH — журнал срабатывания правил инспектирования SSH. Для регистрации данных событий необходимо включить журналирование.

• История поиска — содержит поисковые запросы пользователей в популярных поисковых системах.

• Журнал событий конечных устройств — отображает события, получаемые от контролируемых с помощью программного обеспечения UserGate Endpoint конечных устройств, а также события, полученные из контроллера домена AD по WMI.

• Журнал правил конечных устройств — события срабатывания правил межсетевого экрана конечных устройств, в настройках которых включено журналирование.

• Приложения конечных устройств — отображает приложения, которые когда-либо запускались на конечных устройствах.

• Аппаратура конечных устройств — содержит информацию об устройствах, подключённых к конечным устройствам.

• Журнал syslog — отображены записи сообщений о событиях удалённых Unix-систем, полученные по протоколу syslog.

• Журнал защиты почтового трафика — содержит события срабатывания правил защиты почтового трафика, в настройках которых включено журналирование. 

• Журнал UserID — содержит описание событий отражающие результат работы UserID агента.

• Журнал RADIUS — содержит события, собранные агентом UserID из данных RADIUS accounting.

• Журнал событий SIEM — содержит события, связанные с изменением настроек сервера SIEM, авторизацией пользователей, администраторов, обновлениями различных списков и т.п.

Управление журналами автоматизировано: журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.

Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. Записи о ротации базы данных будут отображены в журнале событий SIEM.

Ротация записей журнала событий не производится.