Логирование

Принцип работы

Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.

Также необходимо, чтобы действие в сработавшем правиле Файрвола было среди Действий для логирования на вкладке Логирование. Иначе срабатывание логироваться не будет.

Далее трафик проходит через правила в таблицах Файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:

• стандартные поля логирования;

• атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);

• название таблицы Файрвола;

• идентификатор правила Файрвола;

• действие, которое произошло.

Для просмотра логов перейдите в раздел Отчеты и журналы -> Системный журнал. Логи могут отправляться в сторонние коллекторы через syslog.

Такая система ограничений нужна для исключения неподходящих правил Файрвола из логирования. Логирование срабатываний всех правил Файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для нормальной работы логирование не требуется, рекомендуем его отключить.

Действия для логирования

Выберите действия правил Файрвола, которые требуется логировать, нажав на .

Трафик для логирования

Создайте и включите в таблице правило для трафика. Если сработает правило Файрвола с трафиком, подходящим под правило логирования, то срабатывание правила Файрвола будет залогировано.

Предоставляется возможность гибкой выборки трафика, который подлежит логированию, за счет правил таблицы Логирование.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать: