Логирование

Принцип работы

Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.

Также необходимо, чтобы действие в сработавшем правиле файрвола было среди Действий для логирования на вкладке Логирование. Иначе срабатывание логироваться не будет.

Далее трафик проходит через правила в таблицах файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:

• стандартные поля логирования;

• атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);

• название таблицы файрвола;

• идентификатор правила файрвола;

• действие, которое произошло.

Логи записываются в системный журнал. В том числе эти сообщения могут отправляться через syslog.

Такая система ограничений нужна для исключения неподходящих правил файрвола из логирования. Логирование всех срабатываний правил файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для нормальной работы логирование не требуется, рекомендуем его отключить.

Действия для логирования

Трафик для логирования

Создайте в таблице правило для трафика. Если сработает правило файрвола с трафиком, подходящим под правило логирования, то срабатывание правила файрвола будет залогировано.

Применение правил для отметки трафика, подлежащего проверке, проходит всегда по всем правилам до конца этой таблицы.

Таким образом, предоставляется возможность гибкой выборки трафика, который подлежит логированию.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать: