Логирование

Логирование срабатывания правил Файрвола.

Принцип работы

Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.

Также необходимо, чтобы действие в сработавшем правиле Файрвола было среди Действий для логирования на вкладке Логирование. Иначе срабатывание логироваться не будет.

Далее трафик проходит через правила в таблицах Файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:

стандартные поля логирования;
атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);
название таблицы Файрвола;
идентификатор правила Файрвола;
действие, которое произошло.

Для просмотра логов перейдите в раздел Отчеты и журналы -> Системный журнал и настройте фильтр событий (Служба - равен - ideco-nflog). Логи могут отправляться в сторонние коллекторы через syslog.

Включите опцию Логировать срабатывания правил для начала логирования.

Такая система ограничений нужна для исключения неподходящих правил Файрвола из логирования. Логирование срабатываний всех правил Файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для нормальной работы логирование не требуется, рекомендуем его отключить.

Действия для логирования

Выберите действия правил Файрвола, которые требуется логировать, нажав на .

Если ни одно действие на вкладке Логирование не выбрано, срабатывания правил логироваться не будут.

Трафик для логирования

Создайте и включите в таблице правило для трафика. Если сработает правило Файрвола с трафиком, подходящим под правило логирования, то срабатывание правила Файрвола будет залогировано.

Если ни одно правило в таблице не задано, срабатывание правил логироваться не будет.

Правила отметки трафика могут снять отметку с помощью действия Не логировать для трафика, помеченного ранее действием Логировать.

Предоставляется возможность гибкой выборки трафика, который подлежит логированию, за счет правил таблицы Логирование.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать:

PreviousТаблицы файрвола (FORWARD, DNAT, INPUT и SNAT)NextКонтроль приложений

Last updated 4 months ago

Was this helpful?