Syslog
Включение этого модуля дает возможность передавать все системные сообщения (syslog) Ideco NGFW в сторонние коллекторы (Syslog Collector) или в SIEM-системы.
Last updated
Включение этого модуля дает возможность передавать все системные сообщения (syslog) Ideco NGFW в сторонние коллекторы (Syslog Collector) или в SIEM-системы.
Last updated
Название службы раздела Syslog: ideco-monitor-backend.
Список служб для других разделов доступен по ссылке.
В качестве коллектора можно указывать любой локальный "серый" или публичный "белый" IP-адрес.
В поле Порт укажите любой порт из диапазона от 1 до 65535.
Передача системных сообщений происходит согласно RFC-5424 (транспорт UDP).
192.168.100.2 Dec 14 15:48:38 daemon warning timestamp:2022-12-14 10:48:34.808465+00:00,flow_id:1189034483406353,in_iface:seq:Leth1:3:m,sensor_name:suricata_debug,event_type:alert,src_ip:192.168.100.11,src_port:61790,src_country:,src_country_code:,src_session_uuid:7100d1c8-017f-4cbf-8b78-482839300211,src_user_id:2,src_user_name:a.istomina,dest_ip:192.168.100.2,dest_port:53,dest_country:,dest_country_code:,dest_session_uuid:,dest_user_id:-1,dest_user_name:,proto:UDP,alert.signature_id:1003892,alert.signature:Windows Telemetry,alert.category:Telemetry Windows,alert.severity:3,alert.gid:1,alert.action:blocked,http.hostname:,http.url:,http.http_user_agent:,flow.pkts_toserver:1,flow.pkts_toclient:0,flow.bytes_toserver:73,flow.bytes_toclient:0,flow.start:2022-12-14 10:48:34.808465+00:00,flow.end:2022-12-14 10:48:35.580143+00:00,flow.age:0,flow.state:,flow.reason:,flow.alerted:0,tcp.tcp_flags:,tcp.tcp_flags_ts:,tcp.tcp_flags_tc:,tcp.cwr:0,tcp.ecn:0,tcp.urg:0,tcp.ack:0,tcp.psh:0,tcp.rst:0,tcp.syn:0,tcp.fin:0,tcp.state:где:
192.168.100.2 - ip-адрес NGFW отправителя;
Dec 14 15:48:38 - время получения события по Syslog;
timestamp: 2022-12-14 10:48:34.808465+00:00 - время события в системе предотвращения вторжений, может не совпадать с временем получения события по Syslog;
flow_id: 1189034483406353 - внутренний идентификатор системы предотвращения вторжений flow (сессии);
in_iface: seq:Leth1:3:m - содержит идентификатор входящего интерфейса;
sensor_name: suricata_debug - имя экземпляра системы предотвращения вторжений;
event_type: alert - тип события;
src_ip: 192.168.100.11 - IP-адрес источника;
src_port: 61790 - порт источника;
src_country: - название местоположения источника;
src_country_code: - ISO-код страны источника;
src_session_uuid: 7100d1c8-017f-4cbf-8b78-482839300211 - внутренний идентификатор сессии Ideco NGFW источника;
src_user_id: 2 - идентификатор пользователя источника;
src_user_name: a.istomina- имя пользователя источника;
dest_ip: 192.168.100.2 - IP-адрес назначения;
dest_port: 53 - порт назначения;
dest_country: - название местоположения назначения;
dest_country_code: - ISO-код страны назначения;
dest_session_uuid: - внутренний идентификатор сессии Ideco NGFW назначения;
dest_user_id: -1 - идентификатор пользователя назначения;
dest_user_name: - имя пользователя назначения;
proto: UDP - протокол;
alert.signature_id: 1003892 - ID правила системы предотвращения вторжений;
alert.signature: Windows Telemetry - сообщение из сработавшего правила;
alert.category: Telemetry Windows - описание колонки в веб-интерфейсе События безопасности; Соответствие alert.category: -> alert.signature описаны в файле.
alert.severity: 3 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;
Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:
http.hostname: - идентификатор хоста;
http.url: - url, на который велось обращение;
http.http_user_agent: - информация, идентифицирующая HTTP-клиента.
Служебные поля flow (сессии):
flow.pkts_toserver :1 - количество пакетов, переданное от клиента к серверу;
flow.pkts_toclient: 0 - количество пакетов, переданное от сервера к клиенту;
flow.bytes_toserver: 73 - количество байт, переданное от клиента к серверу;
flow.bytes_toclient: 0 - количество байт, переданное от сервера к клиенту;
flow.start: 2022-12-14 10:48:34.808465+00:00 - начало;
flow.end: 2022-12-14 10:48:35.580143+00:00 - окончание;
flow.age: 0 - возраст;
flow.state: - текущее состояние;
flow.reason: - запущена ли IPsec в режиме отладки;
flow.alerted: 0 - сгенерировался ли поток alert;
Состояние флага TCP flow(сессии):
tcp.tcp_flags: - значение поля flags в заголовке TCP;
tcp.tcp_flags_ts: - timestamp флаги;
tcp.tcp_flags_tc: - флаг Truncated response;
tcp.cwr: 0;
tcp.ecn: 0;
tcp.urg: 0;
tcp.ack: 0;
tcp.psh: 0;
tcp.rst: 0;
tcp.syn: 0;
tcp.fin: 0;
tcp.state: - состояния сеанса TCP.
ноя 24 09:36:27 localhost ideco-nflog[691]: UDP src 192.168.100.12 sport 137 dst 40.125.122.151 dport 137 table FWD rule 1 action acceptUDP - протокол, принимает значения UDP, TCP, ICMP, GRE, ESP и AH;
src - IP-адрес источника;
dst - IP-адрес назначения;
sport - порт источника для UDP и TCP;
dport - порт назначения для UDP и TCP;
table - таблица правил, в которой произошло логирование;
rule - ID правила из таблицы rule;
action - действие, которое произошло.
192.168.100.2 Jan 12 11:00:15 1 user err 2023-01-12T11:00:14+05:00 localhost app-control 2027 - - (flow_info_rules_was_checked) 192.168.100.11:52514 -> 192.168.100.2:53 [Amazon] = 'DROP'. 2027 - идентификатор процесса;
192.168.100.11:52514 - ip-адрес источника;
192.168.100.2:53 [Amazon] = 'DROP' - результат анализа трафика, где [Amazon] название приложения, к которому был применен результат. Список всех приложений.
Просмотр логов доступен в веб-интерфейсе в разделе Мониторинг -> Журналы. Название служб для фильтрации: ideco-content-filter-backend и squid ().
Пример блокировки ресурса:
192.168.101.130 Mar 31 14:56:57 1 daemon info 2023-03-31T14:56:56+05:00 localhost squid 5950 - - 192.168.101.131 - - [31/Mar/2023:14:56:56 +0500] "GET https://www.igromania.ru/? HTTP/1.1" 403 7455 "https://yandex.ru/" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0" TCP_DENIED:HIER_NONE "Custom deny 8 Игры extended.id.21 group.id.1 " 5950 - идентификатор процесса;
192.168.101.131 - IP-адрес пользователя;
[31/Mar/2023:14:56:56 +0500] "GET https://www.igromania.ru/? HTTP/1.1:
[31/Mar/2023:14:56:56 +0500] - дата/время события блокировки;
GET - метод;
https://www.igromania.ru/? - URL заблокированного ресурса;
HTTP/1.1 - протокол;
403 - код состояния HTTP;
7455 - передано байт (в ответ, включая HTTP заголовок);
https://yandex.ru/ - HTTP referer;
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0 - цифровой отпечаток браузера;
TCP_DENIED:HIER_NONE - техническое сообщение от squid;
Custom deny 8 Игры extended.id.21 group.id.1:
Custom deny 8 Игры - описание и номер правила блокировки;
extended.id.21 - категория сайта;
group.id.1 - значение поля Применяется для в сработавшем правиле.
192.168.100.2 Jan 12 11:02:15 1 daemon info 2023-01-12T11:02:14+05:00 localhost fail2ban.filter 779 - - INFO [utm-web-interface] Found 192.168.100.1 - 2023-01-12 11:02:14
192.168.100.2 Jan 12 11:02:36 1 daemon notice 2023-01-12T11:02:35+05:00 localhost fail2ban.actions 779 - - NOTICE [utm-web-interface] Ban 192.168.100.1
info или notice - приоритет сообщения в логах в виде информационного сообщения или уведомления;
779 - идентификатор процесса;
INFO [utm-web-interface] Found 192.168.100.1 - 2023-01-12 11:02:14 - факт обнаружения правил безопасности с указанием группы правил ([utm-web-interface]), ip-адреса и даты/времени. Список групп правил:
utm-dovecot;
utm-postfix-connrate.conf;
utm-postscreen-prgrt.conf;
utm-reverse-proxy.conf;
utm-roundcube.conf;
utm-smtp.conf;
utm-ssh.conf;
utm-two-factor-codes.conf;
utm-vpn-authd.conf;
utm-vpn-pppoe-authd.conf;
utm-web-interface.conf;
utm-wireguard-backend.conf.
NOTICE [utm-web-interface] Ban 192.168.100.1 - факт блокировки или разблокировки ip-адреса, где:
Ban - факт блокировки;
Unban - факт разблокировки.
2024-07-18T17:11:40+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721304700 Severity=Notice DeviceProcessName=ideco-web-authd msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'web' - тип авторизации веб.
2024-07-18T17:20:22+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305222 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'log' - тип авторизации через журнал безопасности AD.
2024-07-18T17:26:34+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305594 Severity=Notice DeviceProcessName=ideco-web-authd msg=User 'Sanek' has been successfully authorized in web interface from IP '192.168.205.254'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
Sanek - логин пользователя;
192.168.205.254 - IP-адрес пользователя;
2024-07-18T17:29:18+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305758 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'ip'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'ip' - тип авторизации по IP.
2024-07-18T17:32:26+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305946 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'mac'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'mac' - тип авторизации по MAC.
2024-07-18T20:52:27+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721317947 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.0/24 is authorized as user 'Sanek'. Connection made from None, type 'net'.deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;
Severity - важность события (Emergency, Alert', Critical, Error, Warning, Notice, Informational, Debug);
DeviceProcessName - название службы NGFW (unit);
192.168.205.0/24 - подсеть, по которой происходит авторизация;
Sanek - логин пользователя;
type 'net' - тип авторизации по подсети.
192.168.100.2 Jan 12 11:10:06 1 local0 info 2023-01-12T11:10:05+05:00 localhost ideco-vpn-authd 1356 - - Start vpn authorization ('user_1', '192.168.100.11', 'pptp').
192.168.100.2 Jan 12 11:10:06 1 local0 info 2023-01-12T11:10:05+05:00 localhost ideco-vpn-authd 1356 - - Subnet 10.128.187.17/32 is authorized as user 'user_1'. Connection made from '192.168.100.11', type 'pptp'.1356 - идентификатор процесса;
Start vpn authorization('user_1', '192.168.100.11', 'pptp') - факт запроса на авторизацию с информацией о запрашиваемом подключении, где:
user_1 - логин пользователя;
192.168.100.11 - ip-адрес, откуда установлено подключение;
pptp - протокол.
Subnet 10.128.187.17/32 - факт успешной авторизации с локальным ip-адресом.
192.168.100.2 Jan 12 11:20:06 1 local0 info 2023-01-12T11:20:05+05:00 ideco-ngfw ideco-web-authd 1665 - - Subnet 192.168.100.10/32 is authorized as user 'user'. Connection made from None, type 'web'1665 - идентификатор процесса;
192.168.100.10/32 - IP-адрес пользователя;
user - логин пользователя;
type 'web' - тип авторизации веб.
2024-07-18T16:59:55+05:00 Ideco-NGFW ideco-web-authd - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.Ideco-NGFW - название сервера;
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'web' - тип авторизации веб.
2024-07-18T16:19:39+05:00 Ideco-NGFW ideco-auth-backend - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.Ideco-NGFW - название сервера;
192.168.205.254/32 - IP-адрес пользователя;
Sanek - логин пользователя;
type 'log' - тип авторизации через журнал безопасности AD.
192.168.100.2 Jan 12 11:20:06 1 local0 info 2023-01-12T11:20:05+05:00 ideco-ngfw ideco-web-authd 1665 - - Subnet 192.168.100.49/32 is authorized as user 'user-1717140295.828113'. Connection made from None, type 'ip_permanent'.1665 - идентификатор процесса;
192.168.100.49/32 - IP-адрес пользователя;
'user-1717140295.828113' - логин пользователя;
type 'ip_permanent' - тип авторизации IP с постоянной авторизацией.
192.168.100.2 Jan 12 11:20:06 1 local0 info 2023-01-12T11:20:05+05:00 ideco-ngfw ideco-auth-backend 3660 - - Subnet 192.168.100.10/32 is authorized as user 'user'. Connection made from None, type 'mac'.3660 - идентификатор процесса;
192.168.100.10/32 - IP-адрес пользователя;
user - логин пользователя;
type 'mac' - тип авторизации MAC.
192.168.100.2 Jan 12 11:20:06 1 local0 info 2023-01-12T11:20:05+05:00 ideco-ngfw ideco-auth-backend 3660 - - Subnet 192.168.100.0/24 is authorized as user 'user'. Connection made from None, type 'net'.3660 - идентификатор процесса;
192.168.100.0/24 - подсеть пользователя;
user - логин пользователя;
type 'net' - тип авторизации подсеть.
