Логирование
Как настроить логирование срабатывания правил Файрвола.
Last updated
Was this helpful?
Как настроить логирование срабатывания правил Файрвола.
Last updated
Was this helpful?
Соединения, установленные до создания правил логирования, залогированы не будут. Если приходит пакет, атрибуты которого (протокол, порты и IP-адрес) соответствуют уже созданному соединению, к нему применяются те же действия, что и к другим пакетам этого соединения.
Первый пакет нового соединения (протокол, порты, IP-адреса не соответствуют атрибутам уже установленного соединения) проходит через правила вкладки Логирование. Если атрибуты пакета соответствуют правилу логирования, то на пакет ставится метка логирования. По умолчанию метки нет.
Далее трафик проходит через правила в . Если при срабатывании правила на пакете стояла метка логирования, то в логи попадают следующие данные:
Атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);
Данные правил Файрвола: идентификатор правила, название таблицы и действие, которое произошло;
Информация по DNAT: идентификатор правила, измененный IP-адрес и порт назначения;
Информация по SNAT: идентификатор правила, измененный IP-адрес источника;
Если в правиле указаны профили безопасности:
Данные профиля Контроля приложений: профиль, действие, протокол прикладного уровня, приложение;
Данные профиля Предотвращения вторжения: профиль, ID соединения, действие и ID сигнатуры.
Для просмотра логов перейдите в раздел Отчеты и журналы -> . Логи могут отправляться в сторонние коллекторы через .
Модули Контроль приложений и Предотвращение вторжений могут задерживать решение о блокировке или разрешении соединения, поэтому информация в журнале появляется не сразу. После принятия решения запись в обновляется.
Не рекомендуем включать логирование всего трафика, так как при высоком потоке новых соединений логирование требует дополнительных ресурсов на сервере и возможна потеря части логов. Логирование необходимо, например, для определения модуля, блокирующего доступ в интернет. Если для работы логирование не требуется, рекомендуем отключить опцию Логировать срабатывания правил.
Действие Не логировать позволяет снять метку логирования.
Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:
1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.
2. В поле Назначение выберите yandex.ru
.
3. Выберите действие Логировать.
4. В поле Дополнительно включите правило:
Правила Логирования позволяют гибко выбрать трафик для логирования. Создайте и включите в таблице правило логирования. Соединение залогируется и отразится в при срабатывании правила Файрвола.