UserGate Management Center (UGMC) получает от подключенных конечных устройств информацию о событиях, например, данные о действиях пользователей, изменениях параметров устройств, а также о работе приложений, установленных на устройствах. Эта информация используются для анализа состояния конечных устройств и контроля их доступа к корпоративной сети.

В веб-интерфейсе UGMC администраторы управляемой области могут настраивать отправку данных конечных устройств в другие продукты экосистемы UserGate SUMMA, такие как UserGate Log Analyzer и UserGate SIEM (начиная с версии 7.5.0). Данные будут передаваться в выбранный продукт транзитом через UGMC и записываться в виде журналов для хранения и дальнейшего анализа. Подробная информация о UserGate Log Analyzer и UserGate SIEM, а также инструкции по настройке и работе с ними приведены в Руководстве администратора Log Analyzer и Руководстве администратора UserGate SIEM соответственно.

Настройка отправки данных конечных устройств

В веб-интерфейсе управляемой области UGMC вы можете настроить отправку данных конечных устройств в UserGate Log Analyzer или UserGate SIEM, используя шаблоны устройств.

ПримечаниеПеред выполнением инструкции вам необходимо подключить UserGate Log Analyzer или UserGate SIEM к UGMC, см. разделы «Управление устройствами LogAn» и «Управление устройствами UserGate SIEM» соответственно. Для каждого подключения на сервере UGMC автоматически назначается порт из диапазона 22000–22711.

Чтобы настроить отправку данных конечных устройств:

1. В разделе Конечные устройства – конфигурация выберите шаблон устройства.

2. В разделе боковой панели UserGate ➜ Настройки в блоке Устройство LogAn/SIEM нажмите ссылку для выбора продукта, в который нужно отправлять данные.

3. В открывшемся окне настройте следующие параметры:

установите флажок Синхронизировать;
в выпадающем списке выберите подключенный UserGate Log Analyzer или UserGate SIEM.

4. Нажмите Сохранить.

Просмотр журналов конечных устройств

В веб-интерфейсе UserGate Log Analyzer или UserGate SIEM данные конечных устройств отображаются в разделе Журналы и отчёты ➜ Журналы ➜ Конечные устройства. Для просмотра доступны следующие журналы:

Журнал событий.
Журнал правил.
Приложения.
Аппаратура.

ПримечаниеДля записи журналов на английском языке необходимо установить языковой пакет Английский (США). Кроме того, этот язык должен быть доступен для выбора в качестве языка интерфейса.

При просмотре каждого журнала вы можете:

просматривать подробную информацию о выбранной записи в отдельном окне (по кнопке Показать);
добавлять выбранные записи к сведениям об инциденте (по кнопке Добавить в инцидент);
скачивать выбранные записи в CSV-файл для дальнейшего анализа (по кнопке Экспортировать в CSV).

Журнал событий

Журнал содержит данные о событиях, зарегистрированных на конечных устройствах.

Параметр	Описание
Узел	Идентификатор конечного устройства или узла, на котором запущен сенсор
Время	Время регистрации события. Отображается в часовом поясе, настроенном в продукте
Конечное устройство/сенсор	Названия конечного устройства или сенсора
Уровень лога	Уровень важности зарегистрированного события: Аудит успеха (Audit Success) — событие при успешном обращении к ресурсу аудита; Аудит отказа (Audit Failure) — событие при неуспешном обращении к ресурсу аудита; Ошибка (Error) — событие указывает на существенные проблемы, которые могут стать причиной потери функциональности или данных; Предупреждение (Warning) — событие указывает на проблемы, которые не требуют немедленного решения, но могут привести к ошибкам в будущем; Сведения (Information) — информационное событие, которое, как правило, не требует внимания администратора
Данные	Подробная информация о событии
Источник журнала событий	Название источника, зарегистрировавшего событие
Категория журнала	Код категории журнала. Отображаются данные, полученные из журнала событий Windows (Application Event Log). Каждый источник журнала событий может определять собственные категории
Категория инцидента	Название категории, к которой относится инцидент
Имя компьютера	Полное название конечного устройства или узла, на котором запущен сенсор
Имя пользователя	Пользователь, с учетной записи которого был выполнен вход в систему конечного устройства
Код события лога	Код события
Идентификатор события лога	Идентификатор события
Тип события лога	Тип события, которому соответствует уровень события: 1 — ошибка (error); 2 — предупреждение (warning); 3 — сведения (information); 4 — аудит успеха (audit success); 5 — аудит отказа (audit failure)
Строка вставки	Данные о событии, полученные от элемента EventData журнала событии Windows
Файл журнала лога	Тип журнала, к которому относится событие: Application (журнал приложений) — содержит события приложений и служб; Security (журнал безопасности) — содержит события системы аудита; System (системный журнал) — содержит события драйверов устройств; CustomLog — содержит события, зарегистрированные приложениями, которые ведут запись в пользовательский журнал

Журнал правил

Журнал содержит информацию о срабатываниях правил межсетевого экрана конечных устройств, в которых включен параметр Журналирование.

Параметр	Описание
Узел	Идентификатор конечного устройства
Время	Время срабатывания правила. Отображается в часовом поясе, настроенном в продукте
Конечное устройство	Название конечного устройства
Действие	Действие для конечного устройства, которое выполняется при срабатывании правила: Разрешить; NAT; Запретить
Правило	Название правила межсетевого экрана
Приложение	Приложение, через которое осуществляется доступ к ресурсу
Домен	Имя домена, используемое для подключения
Категория сайтов	Категория сайтов, к которой относится адрес назначения. Отображается только при наличии правил с условием «Категории сайтов»
Тип контента	Название типа контента
Сетевой протокол	Транспортный протокол, используемый для подключения к ресурсу
IP источника	IP-адрес источника трафика
Порт источника	Номер порта, через который осуществляется подключение
IP назначения	IP-адрес назначения трафика
Порт назначения	Номер порта назначения, используемый транспортным протоколом

Журнал приложений

Журнал содержит информацию о приложениях, которые запускались на конечных устройствах.

Параметр	Описание
Узел	Идентификатор конечного устройства
Время	Время запуска приложения на конечном устройстве. Отображается в часовом поясе, настроенном в продукте
Конечное устройство	Название конечного устройства
Действие	Запуск или остановка приложения
Хэш	Хеш-сумма приложения
Приложение	Название приложения, которое было запущено или остановлено
Версия	Версия приложения
Субъект подписи	Владелец сертификата для приложения
Подписано	Издатель сертификата для приложения
Идентификатор процесса	Идентификатор процесса для приложения
Пользователь	Пользователь, запустивший приложение
Командная строка	Команда запуска приложения

Журнал устройств

Журнал содержит информацию об устройствах, которые подключались к конечным устройствам.

Параметр	Описание
Узел	Идентификатор конечного устройства
Время	Дата и время регистрации события
Конечное устройство	Название конечного устройства
Действие	Добавление или удаление устройства
Устройство	Название устройства, которое было подключено или удалено
Идентификатор устройства	Идентификатор подключенного или удаленного устройства
Служба	Драйверы, использующиеся для работы с устройством