Логирование
Логирование срабатывания правил Файрвола.
Last updated
Was this helpful?
Логирование срабатывания правил Файрвола.
Last updated
Was this helpful?
Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.
Также необходимо, чтобы действие в сработавшем правиле Файрвола было среди Действий для логирования на вкладке Логирование. Иначе срабатывание логироваться не будет.
Далее трафик проходит через правила в таблицах Файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:
стандартные поля логирования;
атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);
название таблицы Файрвола;
идентификатор правила Файрвола;
действие, которое произошло.
Для просмотра логов перейдите в раздел Отчеты и журналы -> Системный журнал и настройте фильтр событий (Служба - равен - ideco-nflog). Логи могут отправляться в сторонние коллекторы через syslog.
Такая система ограничений нужна для исключения неподходящих правил Файрвола из логирования. Логирование срабатываний всех правил Файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для нормальной работы логирование не требуется, рекомендуем его отключить.
Выберите действия правил Файрвола, которые требуется логировать, нажав на .
Если ни одно действие на вкладке Логирование не выбрано, срабатывания правил логироваться не будут.
Создайте и включите в таблице правило для трафика. Если сработает правило Файрвола с трафиком, подходящим под правило логирования, то срабатывание правила Файрвола будет залогировано.
Если ни одно правило в таблице не задано, срабатывание правил логироваться не будет.
Правила отметки трафика могут снять отметку с помощью действия Не логировать для трафика, помеченного ранее действием Логировать.
Предоставляется возможность гибкой выборки трафика, который подлежит логированию, за счет правил таблицы Логирование.
Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:
1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.
2. В поле Назначение выберите yandex.ru
.
3. Выберите действие Логировать: