Syslog

ID статьи: 1226
Последнее обновление: 09 апр, 2024
Documentation:
Product: LogAn, SIEM
Version: 7.0.1, 7.1.0

В данном разделе настраиваются правила сбора событий системных журналов Unix-систем (syslog), которые содержат информацию о работе системы, её состоянии и безопасности, наличии ошибок, сбоях в работе. Правила syslog позволяют осуществлять фильтрацию записей событий (по времени, критичности событий, объектам, названию устройств, приложениям), упрощая поиск необходимой информации.

Для работы сборщика логов необходимо настроить сервер, с которого будет происходить сбор информации, и правила syslog.

Для настройки сервера необходимо  в веб-консоли администратора перейти в раздел Сборщик логов ➜ Syslog, нажать кнопку Настроить сервер и указать следующие данные в открывшемся окне Настройки syslog:

Наименование

Описание

Включено

Включение/отключение приёма syslog событий.

Протокол

Сетевой протокол, использующийся для сбора информации:

  • TCP.

  • UDP.

Порт

Номер порта, использующегося для сбора syslog событий. По умолчанию — порт 514.

Максимальное количество сессий

Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.

Безопасное соединение

Включение/отключение шифрования потока данных.

Подробнее об использовании TLS в Syslog читайте в соответствующей документации.

Файл сертификата УЦ

Сертификат удостоверяющего центра (центра сертификации), который используется для установления безопасного соединения.

Файл сертификата

Сертификат, сгенерированный пользователем и подписанный центром сертификации (ЦС); необходимо указать при настройке безопасного соединения.

Разрешённые соседи

Список устройств, с которых LogAn будет получать информацию в случае использования безопасного соединения.

Для настройки правил фильтрации записей событий syslog необходимо указать следующие данные:

Наименование

Описание

Включено

Включение/отключение правила syslog.

Название

Название правила syslog.

Описание

Описание правила syslog (опционально).

Действие

Действие:

  • Разрешить — разрешение приёма сообщений, подходящих под условия правила.

  • Запретить — блокировка приёма сообщений, подходящих под условия правила.

Часовой пояс

Часовой пояс, настроенный на удалённых устройствах. Приём сообщений будет разрешён или запрещён с устройств, у которых сохранение записей происходит в указанном часовом поясе.

Вставить

Место вставки создаваемого правила в списке правил: наверх, вниз или выше выбранного существующего правила.

Критичность

Критичность событий syslog:

  • Экстренная: критическое состояние, которое сказывается на работоспособности системы.

  • Тревога: состояние, требующее незамедлительного вмешательства.

  • Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.

  • Ошибки: сообщения о сбоях в системе.

  • Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.

  • Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.

  • Информативная: информационные уведомления.

  • Отладочная: информация, полезная разработчикам для отладки приложений.

Объект

Категория события:

  • Сообщения ядра.

  • Сообщения пользовательские.

  • Почтовая система.

  • Системный сервис.

  • Безопасность/авторизация.

  • Сообщения syslog.

  • Система печати LPR.

  • Система сетевых новостей.

  • Подсистема UUCP.

  • Сервис времени.

  • Безопасность/аутентификация.

  • FTP сервис.

  • Система NTP.

  • Аудит.

  • Тревога.

  • Сервис времени 2.

  • Local 0 — Local 7.

Имя хоста

Название устройства.

Название приложения

Название приложения, сбор информации о котором необходимо разрешить/запретить.

Подробнее читайте в разделе Приложения syslog.

Записи событий будут отображены в журнале Syslog, подробнее читайте в разделе Системный журнал.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1226
Последнее обновление: 09 апр, 2024
Ревизия: 4
Просмотры: 4503
Комментарии: 0
Теги