UserGate SWG регистрирует события, возникающие в процессе его функционирования, и сохраняет их в следующих журналах:
Журнал событий — содержит события, связанные с изменением параметров UserGate SWG, авторизацией пользователей, обновлениями различных списков и т. п.
Журнал веб-доступа — подробный журнал всех веб-запросов, обработанных UserGate SWG.
Журнал DNS — содержит события, связанные с DNS-трафиком.
Журнал трафика — подробный журнал срабатывания правил межсетевого экрана, NAT, DNAT, правил подмены портов и правил маршрутизации на основе политик (PBR). Для регистрации этих событий необходимо включить функцию журналирования в соответствующих правилах.
История поиска — содержит сведения о поисковых запросах пользователей в популярных поисковых системах.
Агент UserID — содержит описание событий, отражающих результат работы UserID-агента.
Управление журналами автоматизировано: журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.
Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. Записи о ротации базы данных отображаются в журнале событий. В случае, если узел интегрирован с UserGate Log Analyzer, записи будут отображаться в журнале событий UserGate Log Analyzer. Ротация записей журнала событий никогда не производится.
Журнал событий отображает события, связанные с изменением настроек UserGate SWG, например, добавление/удаление/изменение данных учетной записи, правила или любого другого элемента. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал, старта, выключения, перезагрузки сервера и т. п.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например по диапазону дат, компоненту, важности, типу события.
Вы можете выбрать для отображения только те столбцы, которые вам необходимы. Для этого нажмите указателем мыши на любом из столбцов, и в появившемся контекстном меню оставьте галочки только для тех столбцов, которые необходимо отображать.
С помощью кнопки Экспортировать в CSV вы можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал веб-доступа отображает все запросы пользователей в интернет по протоколам HTTP и HTTPS. Выводятся события срабатывания правил фильтрации контента, инспектирования SSL, Веб-безопасности, Captive-портала в настройках которых включено журналирование. Отображается следующая информация:
Узел, на котором произошло событие.
Время события.
Содержание события.
Пользователь.
Действие.
Правило.
Причины (при блокировке сайта).
URL назначения.
Зона источника.
IP-адрес источника.
Порт источника.
Зона назначения.
IP-адрес назначения.
Порт назначения.
Категории сайтов.
Приложение.
Протокол прикладного уровня.
HTTP метод.
Код ответа HTTP.
Тип контента (если присутствует).
Информация.
Байт отправлено/получено.
Пакетов отправлено/получено.
Реферер (при наличии).
Операционная система.
User agent браузера.
Вы можете выбрать только те столбцы для показа, которые вам необходимы. Для этого нажмите указателем мыши на любом из столбцов, и в появившемся контекстном меню оставьте галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т. д.
С помощью кнопки Экспортировать в CSV выр можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал DNS отображает события, связанные с DNS трафиком. Для журналирования событий DNS на UserGate SWG должна быть включена DNS-фильтрация в настройках DNS-прокси и разрешено журналирование в правилах контентной фильтрации, в которые будет попадать DNS трафик.
Отображается следующая информация:
Узел.
Время.
Пользователь.
Правило.
Причины.
Имя домена.
Зона источника.
IP-адрес источника.
Порт источника.
MAC-адрес источника.
Зона назначения.
IP-адрес назначения.
Порт назначения.
Сетевой протокол.
Категория URL.
Информация.
Вы можете выбрать только те столбцы для показа, которые вам необходимы. Для этого нажмите указателем мыши на любом из столбцов, и в появившемся контекстном меню оставьте галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как протокол, диапазон дат, действие и т.д.
С помощью кнопки Экспортировать в CSV вы можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал трафика отображает события срабатывания правил межсетевого экрана и правил NAT, в настройках которых включено журналирование. Отображается следующая информация:
Узел, на котором произошло событие.
Время события.
Содержание события.
Пользователь.
Действие.
Правило.
Приложение.
Сетевой протокол.
Зона источника.
IP-адрес источника.
Порт источника.
MAC источника
Зона назначения.
IP-адрес назначения.
Порт назначения.
MAC назначения.
NAT IP-адрес источника (если это правило NAT).
NAT порт источника (если это правило NAT).
NAT IP-адрес назначения (если это правило NAT).
NAT порт назначения (если это правило NAT).
Байт отправлено/получено.
Пакетов отправлено/получено.
Вы можете выбрать только те столбцы для показа, которые вам необходимы. Для этого нажмите указателем мыши на любом из столбцов, и в появившемся контекстном меню оставьте галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как протокол, диапазон дат, действие и т.д.
С помощью кнопки Экспортировать в CSV вы можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
В разделе История поиска отображаются все поисковые запросы пользователей, для которых настроено журналирование в политиках веб-безопасности.
Вы можете выбрать только те столбцы для показа, которые вам необходимы. Для этого нажмите указателем мыши на любом из столбцов, и в появившемся контекстном меню оставьте галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как протокол, диапазон дат, действие и т.д.
С помощью кнопки Экспортировать в CSV вы можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал Windows Active Directory отображает события, собранные UserID-агентом с помощью коннектора «Microsoft Active Directory» с серверов AD. В журнале отображаются события с успешным входом в систему (идентификатор события 4624), события Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627).
|
Параметр |
Описание |
|---|---|
|
Узел |
Узел UserGate, которым зафиксировано событие |
|
Время |
Время произошедшего события |
|
Запись журнала событий конечных устройств |
Ссылка на событие |
|
Конечное устройство\сенсор |
Коннектор UserID |
|
Уровень лога |
Поле «Keywords» из журнала AD |
|
Данные |
Содержание события из журнала AD |
|
Источник журнала событий |
Поле «Источник» из журнала AD |
|
Категория журнала |
Код категории инцидента (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и т. д) |
|
Категория инцидента |
Поле «Тип задачи» из журнала AD |
|
Имя компьютера |
Узел Windows, на котором произошло событие |
|
Пользователь |
Поле «Пользователь» из журнала AD |
|
Код события лога |
Поле «Код события» из журнала AD (EventCode) |
|
Идентификатор события лога |
Поле «Идентификатор события» из журнала AD (EventID) |
|
Тип события лога |
Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.) |
|
Файл журнала лога |
файл журнала Windows |
Журнал syslog отображает события, собранные UserID-агентом с помощью коннектора «Отправитель syslog» с серверов-источников данных syslog. В журнале отображаются события входа пользователей в систему и завершения сеанса работы.
|
Параметр |
Описание |
|---|---|
|
Узел |
Узел UserGate, на котором зафиксировано событие |
|
Время |
Время произошедшего события |
|
Запись журнала syslog |
Ссылка на событие |
|
Правило |
Правило, под которое попало syslog-сообщение |
|
Критичность |
Уровень критичности события syslog |
|
Объект |
Тип процесса, вызвавшего сообщение (kernel messages,user-level messages,security/authentication и т. д) |
|
Имя компьютера |
Имя компьютера, на котором произошло событие |
|
Приложение |
Приложение, вызвавшее событие |
|
Идентификатор процесса |
PID процесса, вызвавшего событие |
|
Данные |
Описание события |
Журнал UserID содержит описания событий, отражающие результат работы UserID-агента.
|
Параметр |
Описание |
|---|---|
|
Узел |
Узел UserGate, на котором зафиксировано событие |
|
Время |
Время произошедшего события |
|
Содержание события |
Открыть подробное описание события |
|
Действие |
Действие, примененное к событию |
|
Источник логов |
Источник полученного события |
|
Пользователь |
Пользователь, который вызвал событие |
|
IP-адрес |
IP-адрес узла, на котором произошло событие |
|
Информация |
Описание события |
Журнал RADIUS отображает события, собранные UserID-агентом с помощью коннектора «RADIUS» из данных RADIUS accounting. В журнале отображаются события входа пользователей в систему и завершения сеанса работы.
|
Параметр |
Описание |
|---|---|
|
Узел |
Узел UserGate, на котором зафиксировано событие |
|
Время |
Время произошедшего события |
|
Идентификатор правила |
Идентификатор правила, срабатывание которого создало событие |
|
Пользователь |
Пользователь, который вызвал событие |
|
Группы |
Строка групп, в которых состоит пользователь |
|
Статус |
Статус пользователя |
|
IP источника |
IP-адрес источника, откуда пришло сообщение |
|
IP адрес NAS |
IP-адрес NAS, авторизовавшего пользователя |
|
IP-адрес пользователя |
IP-адрес пользователя (framed ip address) |
Количество записей, регистрируемых в журналах, очень велико, и не все поля доступны в базовом режиме просмотра. UserGate SWG предоставляет удобные способы поиска и фильтрации необходимой информации. Вы можете использовать простой и расширенный поиск по содержимому журналов.
При использовании простого поиска используется графический интерфейс, чтобы задать фильтрацию по значениям требуемых полей журналов. Например, вы можете задать интересующий вас диапазон времени, список пользователей, категорий и т.п. Задание критериев поиска интуитивно понятно и не требует специальных знаний.
Построение более сложных фильтров возможно в режиме расширенного поиска с использованием специального языка запросов. В режиме расширенного поиска можно строить запросы с использованием полей журналов, которые недоступны в базовом режиме. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Значения полей могут быть введены с использованием одинарных или двойных кавычек, или без них, если значения не содержат пробелов. Для группировки нескольких условий можно использовать круглые скобки.
Ключевые слова отделяются пробелами и могут быть следующими:
|
Ключевое слово |
Описание |
|---|---|
|
AND или and |
Логическое И, требует выполнения всех условий, заданных в запросе |
|
OR или or |
Логическое ИЛИ, достаточно выполнения одного из условий запроса |
Операторы определяют условия фильтра и могут быть следующими:
|
Оператор |
Описание |
|---|---|
|
= |
Равно. Требует полного совпадения значения поля указанному значению. Пример: ip=172.16.31.1. Будут отображены все записи журнала, в котором поле IP будет точно соответствовать значению 172.16.31.1 |
|
!= |
Не равно. Значение указанного поля не должно совпадать с указанным значением. Пример: ip!=172.16.31. Будут отображены все записи журнала, в котором поле IP не будет равно значению 172.16.31.1 |
|
<= |
Меньше либо равно. Значение поля должно быть меньше, либо равны указанному в запросе значению. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: date<='2019-03-28T20:59:59' AND statusCode=303 |
|
>= |
Больше либо равно. Значение поля должно быть больше, либо равны указанному в запросе значению. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: date>="2019-03-13T21:00:00" AND statusCode=200 |
|
< |
Меньше. Значение поля должно быть меньше указанного в запросе значения. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: date < '2019-03-28T20:59:59' AND statusCode=404 |
|
> |
Больше. Значение поля должно быть больше указанного в запросе значения. Применимо только для полей, поддерживающих сравнения, например поля даты, portSource, portDest, statusCode и т. п. Пример: (statusCode>200 AND statusCode<300) OR (statusCode=404) |
|
IN |
Позволяет указать несколько значений поля в запросе. Список значений необходимо указывать в круглых скобках. Пример: category IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category') |
|
NOT IN |
Позволяет указать несколько значений поля в запросе. Будут отображены записи, не содержащие указанные значения. Список значений необходимо указывать в круглых скобках. Пример: category NOT IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category') |
|
~ |
Содержит. Позволяет указать подстроку, которая должна находиться в указанном поле. Этот оператор применим только к полям, в которых хранятся строковые данные. Пример: browser ~ "Mozilla/5.0" |
|
!~ |
Не содержит. Позволяет указать подстроку, которая не должна присутствовать в указанном поле. Этот оператор применим только к полям, в которых хранятся строковые данные. Пример: browser !~ "Mozilla/5.0" |
|
MATCH |
При использовании оператора MATCH подстрока, которая должна присутствовать в указанном поле, задаётся в формате JSON с использованием одинарных кавычек. Пример: details MATCH '\"module\":\"threats\"' Синтаксис запросов с использованием этого оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2 по ссылке |
|
NOT MATCH |
При использовании оператора NOT MATCH подстрока, которая не должна присутствовать в указанном поле, задаётся в формате JSON с использованием одинарных кавычек. Пример: details NOT MATCH '\"module\":\"threats\"' Синтаксис запросов с использованием этого оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2 по ссылке |
При составлении расширенного запроса UserGate SWG показывает возможные варианты названия полей, применимых к ним операторов и возможных значений, облегчая оператору системы формирование сложных запросов. Список полей и их возможных значений может отличаться для каждого из журналов.
При переключении режима поиска с основного на расширенный UserGate SWG автоматически формирует строку с поисковым запросом, которая соответствует фильтру, указанному в основном режиме поиска.
С помощью функции экспорта журналов вы можете выгружать информацию о работе системы на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
UserGate SWG поддерживает выгрузку следующих журналов:
Журнал событий.
Журнал веб-доступа.
Журнал трафика.
Журнал DNS.
Журнал UserID.
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP выполняется по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.
При создании правила укажите необходимые параметры для экспорта журналов.
|
Параметр |
Описание |
|---|---|
|
Название правила |
Название правила экспорта журналов |
|
Описание |
Опциональное поле для описания правила |
|
Параметры разового экспорта |
Выбор диапазона экспорта журналов |
|
Журналы для экспорта |
Выбор файлов журналов, которые необходимо экспортировать:
Для каждого из журналов возможно указать синтаксис выгрузки:
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов. Подробное описание форматов журналов читайте в приложении Описание форматов журналов |
|
Тип сервера |
SSH (SFTP), FTP, Syslog |
|
Адрес сервера |
IP-адрес или доменное имя сервера |
|
Транспорт |
Только для типа серверов Syslog — TCP или UDP |
|
Порт |
Порт сервера, на который следует отправлять данные |
|
Протокол |
Только для типа серверов Syslog — RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM |
|
Критичность |
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
|
Facility |
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
|
Имя хоста |
Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN) |
|
App-Name |
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog |
|
Логин |
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog |
|
Пароль |
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog |
|
Путь на сервере |
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog |
|
Расписание |
Выбор расписания для отправки журналов. Не применяется к методу отправки Syslog. Вы можете выбрать одно из предустановленных значений расписания или указать время вручную в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. При ручном вводе также можно использовать следующие символы:
|
|
Управление журналами |
Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp. При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временные файлы. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки. Всего хранятся N архивов журналов за предыдущие дни (по количеству дней ротации) и один журнал за текущий день |