Логирование

Логирование срабатывания правил Файрвола.

Принцип работы

Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.

Также необходимо, чтобы действие в сработавшем правиле файрвола было среди Действий для логирования во вкладке Логирование. Иначе срабатывание логироваться не будет.

Далее трафик проходит через правила в таблицах файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:

  • стандартные поля логирования;

  • атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);

  • название таблицы файрвола;

  • идентификатор правила файрвола;

  • действие, которое произошло.

Логи записываются в системный журнал. В том числе эти сообщения могут отправляться через syslog.

Включите опцию Логировать срабатывания правил для начала логирования.

Такая система ограничений нужна для исключения неподходящих правил файрвола из логирования. Логирование всех срабатываний правил файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для нормальной работы логирование не требуется, рекомендуем его отключить.

Действия для логирования

Если ни одно действие во вкладке Логирование не выбрано, срабатывания правил логироваться не будут.

Трафик для логирования

Создайте в таблице правило для трафика. Если сработает правило файрвола с трафиком, подходящим под правило логирования, то срабатывание правила файрвола будет залогировано.

Если ни одно правило в таблице не задано, срабатывание правил логироваться не будет.

Правила отметки трафика могут снять отметку с помощью действия Не логировать для трафика, помеченного ранее действием Логировать.

Применение правил для отметки трафика, подлежащего проверке, проходит всегда по всем правила до конца этой таблицы.

Таким образом, предоставляется возможность гибкой выборки трафика, который подлежит логированию.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать:

Last updated