В данном разделе настраиваются правила сбора событий системных журналов Unix-систем (syslog), которые содержат информацию о работе системы, её состоянии и безопасности, наличии ошибок, сбоях в работе. Правила syslog позволяют осуществлять фильтрацию записей событий (по времени, критичности событий, объектам, названию устройств, приложениям), упрощая поиск необходимой информации.
Для работы сборщика логов необходимо настроить сервер, с которого будет происходить сбор информации, и правила syslog.
Для настройки сервера необходимо в веб-консоли администратора перейти в раздел Сборщик логов ➜ Syslog, нажать кнопку Настроить сервер и указать следующие данные в открывшемся окне Настройки syslog:
Наименование
Описание
Включено
Включение/отключение приёма syslog событий.
Протокол
Сетевой протокол, использующийся для сбора информации:
TCP.
UDP.
Порт
Номер порта, использующегося для сбора syslog событий. По умолчанию — порт 514.
Максимальное количество сессий
Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.
Безопасное соединение
Включение/отключение шифрования потока данных.
Подробнее об использовании TLS в Syslog читайте в соответствующей документации.
Файл сертификата УЦ
Сертификат удостоверяющего центра (центра сертификации), который используется для установления безопасного соединения.
Файл сертификата
Сертификат, сгенерированный пользователем и подписанный центром сертификации (ЦС); необходимо указать при настройке безопасного соединения.
Разрешённые соседи
Список устройств, с которых LogAn будет получать информацию в случае использования безопасного соединения.
Для настройки правил фильтрации записей событий syslog необходимо указать следующие данные:
Наименование
Описание
Включено
Включение/отключение правила syslog.
Название
Название правила syslog.
Описание
Описание правила syslog (опционально).
Действие
Действие:
Разрешить — разрешение приёма сообщений, подходящих под условия правила.
Запретить — блокировка приёма сообщений, подходящих под условия правила.
Часовой пояс
Часовой пояс, настроенный на удалённых устройствах. Приём сообщений будет разрешён или запрещён с устройств, у которых сохранение записей происходит в указанном часовом поясе.
Вставить
Место вставки создаваемого правила в списке правил: наверх, вниз или выше выбранного существующего правила.
Критичность
Критичность событий syslog:
Экстренная: критическое состояние, которое сказывается на работоспособности системы.