В этом блоке вы можете управлять параметрами диагностики, необходимыми службе технической поддержки UserGate для решения возможных проблем в работе устройства.

Параметр

Описание

Детализация диагностики

Доступны следующие уровни журналирования:

Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки в работе SIEM-системы.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — журналировать все возможные события.

При журналировании уровней Warning, Info и Debug может снижаться производительность SIEM-системы, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное

Журналы диагностики

Вы можете:

Скачать журналы — скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно только после их архивирования по кнопке Начать архивирование журналов.
Очистить файлы логов — удалить архивные (неактивные в настоящий момент) журналы

Удаленный помощник

Удаленный помощник позволяет специалисту технической поддержки UserGate безопасно подключаться к серверу UserGate SIEM для диагностики и решения проблем. Для активации удаленного помощника устройство должно иметь доступ к серверу удаленного помощника по протоколу SSH.

При включенном удаленном помощнике отображаются его идентификатор и токен, которые необходимо сообщить специалисту технической поддержки UserGate

Операции с сервером

В этом блоке вы можете перезагрузить или выключить сервер UserGate SIEM, а также настроить вышестоящий прокси-сервер для получения лицензий и обновлений устройства.

Наименование

Описание

Операции с сервером

Доступны следующие действия:

Перезагрузить — перезагрузка сервера UserGate SIEM.
Выключить — выключение сервера UserGate SIEM

Настройки вышестоящего прокси для проверки лицензий и обновлений

Настройка параметров вышестоящего HTTP или HTTPS прокси-сервера, используемого для получения лицензий и обновлений устройства. Вы можете настроить IP-адрес и порт вышестоящего прокси-сервера, а также логин и пароль, если необходима аутентификация на этом прокси-сервере

UserGate поставляет обновления в рамках лицензии на модуль Security Update (см. раздел «Лицензирование UserGate SIEM»). При наличии обновлений в блоке Операции с сервером отобразится соответствующее оповещение. Установка обновлений может занять длительное время, поэтому рекомендуется планировать этот процесс с учетом возможного времени простоя UserGate SIEM.

Перед установкой обновлений рекомендуется создать резервную копию UserGate SIEM. Это позволит восстановить предыдущее состояние устройства, если возникнут проблемы, связанные с применением обновлений.

Управление резервным копированием

В этом блоке вы можете:

создавать резервные копии;
восстанавливать состояние устройства из резервной копии;
настраивать расписание экспорта резервных копий на удаленный сервер;
настраивать SSH-ключи.

Чтобы создать резервную копию устройства:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Создание резервной копии.

Начнется создание резервной копии. Вы можете прервать процесс по кнопке Остановить.

По окончании процесса резервная копия UserGate SIEM будет сохранена в файле backup_PRODUCT_NODENAME_DATE.gpg, где:

PRODUCT — тип устройства: SIEM;
NODENAME — имя узла устройства;
DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM (в часовом поясе UTC+0).

Запись о создании резервной копии отобразится в журнале событий устройства.

Чтобы восстановить состояние устройства из резервной копии:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Восстановление резервной копии и подтвердите восстановление.

2. Укажите путь к файлу с резервной копией UserGate SIEM.

Восстановление будет предложено в консоли TTY при перезагрузке сервера UserGate SIEM.

Администраторы могут создавать правила экспорта, по которым резервные копии будут выгружаться на удаленные серверы по расписанию.

Чтобы создать правило экспорта резервной копии устройства:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
логин и пароль учетной записи;
путь к существующей папке для сохранения файлов экспорта.

Внимание!Если вы создаете правило для SSH-сервера, необходимо предварительно настроить SSH-ключи. Кроме того, необходимо проверить соединение с SSH-сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта резервной копии.

Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0—59> <часы: 0—23> <дни месяца: 1—31> <месяцы: 1—12> <дни недели: 0—6, где 0 — воскресенье>.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Перед подключением к удаленному SSH-серверу, необходимо настроить SSH-ключи, используемые для авторизации на этом сервере.

Чтобы настроить SSH-ключи:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Настроить SSH-ключ.

2. Нажмите Сгенерировать новый ключ.

Будет сгенерирована пара SSH-ключей (закрытый и открытый). Открытый ключ отобразится в окне настройки, закрытый ключ будет автоматически сохранен на сервере UserGate SIEM.

ПримечаниеЕсли у вас уже есть пара SSH-ключей, вы можете добавить закрытый ключ на сервер UserGate SIEM вручную по кнопке «Загрузить ключ».

3. Добавьте открытый SSH-ключ на удаленный сервер.

По умолчанию SSH-ключи хранятся в папке /home/user/.ssh/ в файле authorized_keys.

Экспорт и импорт настроек

В этом блоке вы можете экспортировать текущие параметры UserGate SIEM в виде файлов экспорта в формате BIN. Впоследствии такие файлы могут понадобиться для восстановления параметров устройства, а также для импорта в другие системы SIEM.

Экспорт может выполняться вручную или по расписанию. Вы можете экспортировать все текущие параметры или только сетевые. К сетевым относятся параметры зон, интерфейсов, шлюзов, маршрутов. Сетевые параметры настраиваются в разделе Настройки ➜ Сеть.

Чтобы экспортировать все параметры устройства:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать все настройки.

Параметры будут сохранены в файле siem_core-siem_core@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла устройства;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Чтобы экспортировать только сетевые параметры устройства:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать сетевые настройки.

Параметры будут сохранены в файле network-siem_core-siem_core@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла устройства;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Администраторы могут создавать правила экспорта, по которым параметры устройства будут выгружаться на удаленные серверы по расписанию. Если узлы устройства объединены в кластер, то при создании правила экспорта на одном из узлов это правило будет распространяться на все узлы кластера. Параметры каждого узла при экспорте будут сохраняться в отдельном файле.

Чтобы создать правило экспорта параметров устройства:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
логин и пароль учетной записи;
путь к существующей папке для сохранения файлов экспорта.

ПримечаниеДля авторизации на удаленном SSH-сервере вы можете использовать SSH-ключи. Для этого их нужно предварительно настроить.

Внимание!Если вы создаете правило для SSH-сервера с авторизацией по SSH-ключам, вам необходимо проверить соединение с этим сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта параметров.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Вы можете восстанавливать параметры устройства из файлов экспорта. Эти файлы не содержат данные о кластерах и лицензии, поэтому после восстановления параметров вам потребуется повторно активировать лицензию и настроить кластеры. Кроме того, если для входа в UserGate SIEM вы используете многофакторную аутентификацию через TOTP, после восстановления необходимо повторно добавить ключи инициализации.

Чтобы восстановить параметры устройства из файла экспорта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Импорт.

2. Выберите файл экспорта.

3. В окне Импортировать настройки выберите тип импорта (все параметры или только сетевые).

4. Нажмите Старт.

Начнется восстановление параметров. По окончании процесса сервер UserGate SIEM будет перезагружен.