|
|
UserGate WAF журналирует все события, которые происходят во время его работы, и записывает их в следующие журналы:
-
Журнал событий — события, связанные с изменением настроек WAF, авторизацией пользователей, администраторов, обновлениями различных списков и т.п.
-
Журнал веб-доступа — подробный журнал всех веб-запросов, обработанных WAF.
-
Журнал WebSocket — содержит сведения об установленных и заблокированных WebSocket-соединениях. (Доступно начиная с релиза ПО 7.4.1.)
-
Журнал трафика — подробный журнал срабатывания правил межсетевого экрана. Для регистрации данных событий необходимо включить журналирование в необходимых правилах межсетевого экрана.
Журналы доступны для просмотра в разделе Журналы и отчеты ➜ Журналы.
Управление журналами автоматизировано: журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.
Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий LogAn.
Ротация записей журнала событий не производится.
Журнал событий отображает события, связанные с изменением настроек WAF, например, добавление/удаление/изменение данных учетной записи, правила или любого другого элемента. Здесь же отображаются все события входа в веб-консоль, старта, выключения, перезагрузки сервера и т.п.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как диапазон дат, компоненте, важности, типу события.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал веб-доступа отображает все запросы пользователей в интернет по протоколам HTTP и HTTPS. Выводятся события срабатывания правил фильтрации контента, инспектирования SSL в настройках которых включено журналирование. Отображается следующая информация:
-
Узел, на котором произошло событие.
-
Время события.
-
Содержание события.
-
Действие.
-
Правило.
-
Причины (при блокировке сайта).
-
URL назначения.
-
Зона источника.
-
IP-адрес источника.
-
Порт источника.
-
Зона назначения.
-
IP-адрес назначения.
-
Порт назначения.
-
Протокол прикладного уровня.
-
HTTP метод.
-
Код ответа HTTP.
-
Байт отправлено/получено.
-
Пакетов отправлено/получено.
-
Реферер (при наличии).
-
Useragent браузера.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Журнал WebSocket (версия ПО 7.4.1 и выше)
Если для сервера reverse-прокси настроены правила, фильтрующие WebSocket-соединения, вы можете отслеживать события, связанные с установленными или заблокированными WebSocket-соединениями. Результаты фильтрации WebSocket-соединений отображаются на странице Журнал WebSocket. Запись событий в журнал ведется для правил reverse-прокси, в которых разрешено журналирование этих событий.
Чтобы разрешить запись событий в журнал WebSocket:
1. В разделе Настройки ➜ Политика безопасности ➜ WebSocket-профили выберите WebSocket-профиль или настройте новый. Подробнее — в разделе «Защита WebSocket-соединений».
2. В окне Свойства WebSocket-профиля на вкладке Общие установите флажок Включить журналирование и сохраните изменения.
3. Убедитесь, что WebSocket-профиль с включенным журналированием подключен в правиле reverse-прокси.
На странице Журнал WebSocket можно настроить сортировку и отображение данных с помощью меню, которое вызывается из заголовка любого столбца. Вы также можете просмотреть подробную информацию о событии, дважды нажав на нужную запись.
Для поиска событий записи могут быть отфильтрованы по различным критериям, например по зоне источника, действию или дате.
С помощью кнопки Экспортировать в CSV вы можете скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Журнал трафика отображает события срабатывания правил WAF, в настройках которых включено журналирование. Отображается следующая информация:
-
Узел, на котором произошло событие.
-
Время события.
-
Содержание события.
-
Действие.
-
Правило.
-
Приложение.
-
Сетевой протокол.
-
Зона источника.
-
IP-адрес источника.
-
Порт источника.
-
MAC источника
-
Зона назначения.
-
IP-адрес назначения.
-
Порт назначения.
-
MAC назначения.
-
Байт отправлено/получено.
-
Пакетов отправлено/получено.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Функция экспортирования журналов позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
UserGate WAF поддерживает выгрузку следующих журналов:
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.
При создании конфигурации требуется указать следующие параметры:
|
Наименование
|
Описание
|
|
Название правила
|
Название правила экспорта журналов
|
|
Описание
|
Опциональное поле для описания правила
|
|
Параметры разового экспорта
|
Выбор диапазона экспорта журналов. Опция доступна в версии ПО 7.2.0 и выше
|
|
Журналы для экспорта
|
Выбор файлов журналов, которые необходимо экспортировать:
Для каждого из журналов возможно указать синтаксис выгрузки:
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.
Подробное описание форматов журналов читайте в приложении «Описание форматов журналов»
|
|
Тип сервера
|
SSH (SFTP), FTP, Syslog
|
|
Адрес сервера
|
IP-адрес или доменное имя сервера
|
|
Транспорт
|
Только для типа серверов Syslog — TCP или UDP
|
|
Порт
|
Порт сервера, на который следует отправлять данные
|
|
Протокол
|
Только для типа серверов Syslog — RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM
|
|
Критичность
|
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
-
Тревога: состояние, требующее незамедлительного вмешательства.
-
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
-
Ошибки: в системе возникли ошибки.
-
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
-
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
-
Информативная: информационные сообщения
|
|
Объект
|
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
|
Имя хоста
|
Только для типа серверов Syslog. Уникальное имя узла, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN)
|
|
Название приложения
|
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog
|
|
Логин
|
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog
|
|
Пароль
|
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog
|
|
Путь на сервере
|
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog
|
|
Расписание
|
Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
-
Ежедневно;
-
Еженедельно;
-
Ежемесячно;
-
Каждые ... часов;
-
Каждые ... минут;
-
Задать вручную.
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа
|
|
Управление журналами
|
Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp.
При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временные файлы. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки.
Всего хранятся N архивов журналов за предыдущие дни (по количеству дней ротации) и один журнал за текущий день
|
Поиск и фильтрация данных
Объем данных, регистрируемых в журналах, как правило, значителен, поэтому в стандартном режиме просмотра отображается лишь часть доступных полей. Для быстрого доступа к необходимой информации в UserGate WAF предусмотрены средства поиска и фильтрации журналов. Поиск может выполняться как в простом, так и в расширенном режиме.
В режиме простого поиска фильтрация записей осуществляется с помощью графического интерфейса. Настройка условий поиска выполняется в удобной форме и не требует знания специальных команд или синтаксиса.
Для создания более сложных условий отбора предназначен режим расширенного поиска, использующий специализированный язык запросов. В этом режиме доступны поля журналов, которые не отображаются и не могут использоваться в стандартном режиме поиска. Запросы формируются с использованием имен полей, их значений, ключевых слов и логических операторов. Значения, содержащие пробелы, необходимо заключать в одинарные (' ') или двойные (" ") кавычки. Для значений без пробелов кавычки не требуются. Для объединения и группировки нескольких условий в запросе можно использовать круглые скобки.
Ключевые слова отделяются пробелами и могут быть следующими:
|
Ключевые поля
|
Значение
|
|
AND или and
|
Логическое «И», требует выполнение всех условий, заданных в запросе
|
|
OR или or
|
Логическое «ИЛИ», требует выполнение одного из условий запроса
|
Операторы определяют условия фильтра и могут быть следующими:
|
Оператор
|
Значение
|
|
=
|
Равно — требует полного совпадения значения поля с указанным значением.
Пример: ip = 172.16.31.1.
Будут отображены все записи журнала, в которых поле ip будет точно соответствовать значению 172.16.31.1
|
|
!=
|
Не равно — значение поля не должно совпадать с указанным значением.
Пример: ip != 172.16.31.
Будут отображены все записи журнала, в которых поле ip не будет равно значению 172.16.31.1
|
|
<=
|
Меньше либо равно — значение поля должно быть меньше или равно указанному в запросе значению. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п.
Пример: date <= '2019-03-28T20:59:59' AND statusCode = 303
|
|
>=
|
Больше либо равно — значение поля должно быть больше или равно указанному в запросе значению. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п.
Пример: date >= "2019-03-13T21:00:00" AND statusCode = 200
|
|
<
|
Меньше — значение поля должно быть меньше указанного в запросе значения. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п.
Пример: date < '2019-03-28T20:59:59' AND statusCode = 404
|
|
>
|
Больше — значение поля должно быть больше указанного в запросе значения. Оператор применим для полей, поддерживающих сравнение. Например, поля даты, portSource, portDest, statusCode и т. п.
Пример: (statusCode > 200 AND statusCode < 300) OR (statusCode = 404)
|
|
IN
|
Позволяет указать в запросе несколько значений поля. Список значений необходимо заключать в круглые скобки.
Пример: category IN (botnets, compromised, 'illegal software', 'phishing and fraud',' reputation high risk', 'unknown category')
|
|
NOT IN
|
Позволяет указать в запросе несколько значений поля. Будут отображены записи, в которых значение поля не совпадает ни с одним из указанных. Список значений необходимо заключать в круглые скобки.
Пример: category NOT IN (botnets, compromised, 'illegal software', 'phishing and fraud', 'reputation high risk', 'unknown category')
|
|
~
|
Содержит — позволяет указать подстроку, которая должна присутствовать в значении выбранного поля. Поиск выполняется без учета регистра.
Пример: browser ~ "Mozilla/5.0".
Оператор применяется только к полям, содержащим строковые значения
|
|
!~
|
Не содержит — позволяет указать подстроку, которая не должна присутствовать в значении выбранного поля. Поиск выполняется без учета регистра.
Пример: browser !~ "Mozilla/5.0".
Оператор применяется только к полям, содержащим строковые значения
|
|
MATCH
|
Поиск по полю с помощью регулярного выражения. Будут показаны только те записи, в которых значение поля соответствует заданному шаблону.
Пример: details MATCH NAT — будут отфильтрованы все записи журнала, в которых в проверяемом поле details найдется слово «NAT»
|
|
NOT MATCH
|
Поиск записей, в которых значение поля не совпадает с заданным регулярным выражением. Будут показаны только те записи, в которых значение поля не соответствует заданному шаблону.
Пример: details NOT MATCH NAT — будут отфильтрованы все записи журнала, в которых в проверяемом поле details не найдется слово «NAT»
|
При формировании запроса в режиме расширенного поиска UserGate WAF предлагает варианты названий полей, допустимых операторов и возможных значений. Это упрощает создание сложных поисковых выражений и снижает вероятность ошибок при вводе. Набор доступных полей и перечень допустимых значений зависят от типа просматриваемого журнала.
При переходе из режима простого поиска в режим расширенного поиска UserGate WAF автоматически преобразует заданные параметры фильтрации в строку запроса, соответствующую условиям, указанным в базовом режиме. Вы можете продолжить формирование строки поиска с использованием расширенных возможностей языка запросов без необходимости повторного ввода критериев отбора.
|
