|
В журнале отображены события, связанные с изменением настроек UGMC, а также все события авторизации в консоли, старта, выключения, перезагрузки сервера и т.п.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например, диапазон дат, компонент, важность, тип события.
В UserGate Management Center также представлен режим расширенного поиска для формирования сложных фильтров с использованием специального языка запросов, синтаксис которого рассмотрен далее в разделе Режим расширенного поиска.
После выбора необходимых параметров настроенный фильтр можно сохранить, нажав кнопку Сохранить как. Список сохранённых фильтров можно будет увидеть во вкладке Популярные фильтры.
Администратор может сам выбрать столбцы, которые будут отражены в журнале. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
Функция экспорта журналов UserGate позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию или разово (кнопка Послать разово). Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо в режиме администратора устройства создать правила экспорта журналов в разделе Журналы и отчеты ➜ Экспорт журналов.
ПримечаниеНастройки экспорта журналов не являются кластерными. Если UGMC работает в кластерной конфигурации, правила экспорта журналов создаются отдельно на каждом узле.
При создании конфигурации требуется указать следующие параметры:
Наименование
|
Описание
|
Название правила
|
Название правила экспорта журналов.
|
Описание
|
Опциональное поле для описания правила.
|
Журналы для экспорта
|
Выбор файлов журналов, которые необходимо экспортировать:
Для каждого из журналов возможно указать синтаксис выгрузки:
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.
Подробное описание форматов журналов читайте в приложении Описание форматов журналов.
|
Тип сервера
|
SSH (SFTP), FTP, Syslog.
|
Адрес сервера
|
IP-адрес или доменное имя сервера.
|
Транспорт
|
Только для типа серверов Syslog — TCP или UDP.
|
Порт
|
Порт сервера, на который следует отправлять данные.
|
Протокол
|
Только для типа серверов Syslog — RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.
|
Критичность
|
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
-
Тревога: состояние, требующее незамедлительного вмешательства.
-
Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.
-
Ошибки: в системе возникли ошибки.
-
Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.
-
Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.
-
Информативная: информационные сообщения.
|
Facility
|
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
Имя хоста
|
Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN).
|
App-Name
|
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog.
|
Логин
|
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
|
Пароль
|
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.
|
Путь на сервере
|
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.
В кластерной конфигурации UGMC при экспорте журналов с разных узлов кластера необходимо указывать разные каталоги на сервере для каждого узла UGMC, поскольку имена файлов журналов на каждом узле идентичны.
|
Расписание
|
Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
-
Ежедневно.
-
Еженедельно.
-
Ежемесячно
-
Каждые … часов.
-
Каждые … минут.
-
Задать вручную.
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Управление журналами
|
Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp.
При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временных файлах в кодировке UTF-8. Журналы за предыдущие дни (по количеству дней ротации) хранятся в виде архивов, журнал за текущий день не архивирован. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки.
|
ПримечаниеВозможно сохранение журнала администратором вручную непосредственно из веб-консоли. При этом данные сохраняется только в формате CSV.
Режим расширенного поиска
Помимо простого поиска, для которого используется графический интерфейс, в LogAn представлена возможность расширенного поиска с формированием более сложных фильтров поиска и использованием специального языка запросов. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Значения полей могут быть введены с использованием одинарных или двойных кавычек, или без них, если значения не содержат пробелов. Для группировки нескольких условий можно использовать круглые скобки.
Ключевые слова отделяются пробелами и могут быть следующими:
Наименование
|
Описание
|
AND или and
|
Логическое И, требует выполнение всех условий, заданных в запросе.
|
OR или or
|
Логическое ИЛИ, требует выполнение одного из условий запроса.
|
Операторы определяют условия фильтра и могут быть следующими:
Наименование
|
Описание
|
=
|
Равно. Требует полного совпадения значения поля указанному значению, например, ip=172.16.31.1 будут отображены все записи журнала, в котором поле IP будет точно соответствовать значению 172.16.31.1.
|
!=
|
Не равно. Значение указанного поля не должно совпадать с указанным значением, например, ip!=172.16.31 будут отображены все записи журнала, в котором поле IP не будет равно значению 172.16.31.1.
|
<=
|
Меньше либо равно. Значение поля должно быть меньше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например,
date <= '2019-03-28T20:59:59' AND statusCode=303.
|
>=
|
Больше либо равно. Значение поля должно быть больше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например,
date >= "2019-03-13T21:00:00" AND statusCode=200.
|
<
|
Меньше. Значение поля должно быть меньше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например,
date < '2019-03-28T20:59:59' AND statusCode=404.
|
>
|
Больше. Значение поля должно быть больше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например,
(statusCode>200 AND statusCode<300) OR (statusCode=404).
|
IN
|
Позволяет указать несколько значений поля в запросе. Список значений необходимо указывать в круглых скобках, например,
category IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category').
|
NOT IN
|
Позволяет указать несколько значений поля в запросе; будут отображены записи, не содержащие указанные значения. Список значений необходимо указывать в круглых скобках, например,
category NOT IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category').
|
~
|
Содержит. Позволяет указать подстроку, которая должна находиться в указанном поле, например,
browser ~ "Mozilla/5.0".
Данный оператор может быть применен только к полям, в которых хранятся строковые данные.
|
!~
|
Не содержит. Позволяет указать подстроку, которая не должна присутствовать в указанном поле, например,
browser !~ "Mozilla/5.0".
Данный оператор может быть применен только к полям, в которых хранятся строковые данные.
|
MATCH
|
При использовании оператора MATCH подстрока, которая должна присутствовать в указанном поле, задаётся в формате JSON и с использованием одинарных кавычек, например,
details MATCH '\"module\":\"threats\"'.
Синтаксис запросов с использованием данного оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2: https://github.com/google/re2/wiki/Syntax.
|
NOT MATCH
|
При использовании оператора NOT MATCH подстрока, которая не должна присутствовать в указанном поле, задаётся в формате JSON и с использованием одинарных кавычек, например,
details NOT MATCH '\"module\":\"threats\"'.
Синтаксис запросов с использованием данного оператора соответствует стандарту RE2. Подробнее о синтаксисе Google/RE2: https://github.com/google/re2/wiki/Syntax.
|
При переключении режима поиска с основного на расширенный LogAn автоматически формирует строку с поисковым запросом, которая соответствует фильтру, указанному в основном режиме поиска.
|