В данном разделе настраиваются правила сбора событий системных журналов Unix-систем (syslog), которые содержат информацию о работе системы, её состоянии и безопасности, наличии ошибок, сбоях в работе. Правила syslog позволяют осуществлять фильтрацию записей событий (по времени, критичности событий, объектам, названию устройств, приложениям), упрощая поиск необходимой информации.
Для работы сборщика логов необходимо настроить сервер, с которого будет происходить сбор информации, и правила syslog.
Для настройки сервера необходимо в веб-консоли администратора перейти в раздел Сборщик логов ➜ Syslog, нажать кнопку Настроить сервер и указать следующие данные в открывшемся окне Настройки syslog:
Наименование
|
Описание
|
Включено
|
Включение/отключение приёма syslog событий.
|
Протокол
|
Сетевой протокол, использующийся для сбора информации:
|
Порт
|
Номер порта, использующегося для сбора syslog событий. По умолчанию — порт 514.
|
Максимальное количество сессий
|
Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.
|
Безопасное соединение
|
Включение/отключение шифрования потока данных.
Подробнее об использовании TLS в Syslog читайте в соответствующей документации.
|
Файл сертификата УЦ
|
Сертификат удостоверяющего центра (центра сертификации), который используется для установления безопасного соединения.
|
Файл сертификата
|
Сертификат, сгенерированный пользователем и подписанный центром сертификации (ЦС); необходимо указать при настройке безопасного соединения.
|
Разрешённые соседи
|
Список устройств, с которых LogAn будет получать информацию в случае использования безопасного соединения.
|
Для настройки правил фильтрации записей событий syslog необходимо указать следующие данные:
Наименование
|
Описание
|
Включено
|
Включение/отключение правила syslog.
|
Название
|
Название правила syslog.
|
Описание
|
Описание правила syslog (опционально).
|
Действие
|
Действие:
-
Разрешить — разрешение приёма сообщений, подходящих под условия правила.
-
Запретить — блокировка приёма сообщений, подходящих под условия правила.
|
Часовой пояс
|
Часовой пояс, настроенный на удалённых устройствах. Приём сообщений будет разрешён или запрещён с устройств, у которых сохранение записей происходит в указанном часовом поясе.
|
Вставить
|
Место вставки создаваемого правила в списке правил: наверх, вниз или выше выбранного существующего правила.
|
Критичность
|
Критичность событий syslog:
-
Экстренная: критическое состояние, которое сказывается на работоспособности системы.
-
Тревога: состояние, требующее незамедлительного вмешательства.
-
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
-
Ошибки: сообщения о сбоях в системе.
-
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
-
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
-
Информативная: информационные уведомления.
-
Отладочная: информация, полезная разработчикам для отладки приложений.
|
Объект
|
Категория события:
-
Сообщения ядра.
-
Сообщения пользовательские.
-
Почтовая система.
-
Системный сервис.
-
Безопасность/авторизация.
-
Сообщения syslog.
-
Система печати LPR.
-
Система сетевых новостей.
-
Подсистема UUCP.
-
Сервис времени.
-
Безопасность/аутентификация.
-
FTP сервис.
-
Система NTP.
-
Аудит.
-
Тревога.
-
Сервис времени 2.
-
Local 0 — Local 7.
|
Имя хоста
|
Название устройства.
|
Название приложения
|
Название приложения, сбор информации о котором необходимо разрешить/запретить.
Подробнее читайте в разделе Приложения syslog.
|
Записи событий будут отображены в журнале Syslog, подробнее читайте в разделе Системный журнал.