Ideco NGFW
Скачать PDF
v17
v17
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования
      • Выбор аппаратной платформы
      • Виртуальная платформа
      • Производительность платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Личный кабинет пользователя
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
      • Профили устройств
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • Интеграция с RADIUS-сервером
      • ALD Pro
      • Обнаружение устройств
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • Журнал антивируса
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
      • VCE
      • Кластеризация
        • Настройка кластера
      • Обновления
      • Бекапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать, если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Источники данных
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать, если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление пользователями
    • Управление Ideco Client
    • Управление правилами трафика
    • Управление сетевыми интерфейсами
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Центральная консоль
    • Бекапы
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 17.x
    • ФСТЭК Ideco UTM 17.Х
    • Ideco Center 17.Х
Powered by GitBook
On this page
  • Пересылка системных сообщений
  • Расшифровка передаваемых логов
  • Формат CEF
  • Формат Syslog

Was this helpful?

  1. Настройка Ideco NGFW
  2. Отчеты и журналы

Syslog

Включение этого модуля дает возможность передавать все системные сообщения (syslog) Ideco NGFW в сторонние коллекторы (Syslog Collector) или в SIEM-системы.

PreviousКонструктор отчетовNextУправление сервером

Last updated 5 months ago

Was this helpful?

Название службы раздела Syslog: ideco-monitor-backend. Список служб для других разделов доступен по .

Пересылка системных сообщений

Чтобы настроить пересылку системных сообщений, перейдите в раздел Отчеты и журналы -> Syslog и выполните действия:

1. Укажите IP-адрес сервера-коллектора (любой локальный "серый" или публичный "белый" IP-адрес);

2. В поле Порт укажите любой порт из диапазона от 1 до 65535;

3. Выберите формат передаваемых системных сообщений (Syslog или CEF);

4. Выберите протокол передачи системных логов - TCP или UDP;

5. Нажмите Сохранить и включите опцию Syslog:

Рекомендуется передавать логи по протоколу TCP, так как он гарантирует доставку и соблюдает последовательность сообщений.

Расшифровка передаваемых логов

Формат CEF

Логи в CEF-формате начинаются со строки вида:

192.168.1.100 Nov 05 14:57:10 daemon warning 2024-11-05T14:44:20+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|

где:

  • 192.168.1.100 - IP-адрес NGFW отправителя;

  • Nov 05 14:57:10 - время получения события по Syslog;

  • warning - приоритет сообщения в логах. Другие значения: info (информационное сообщение), notice (уведомление);

  • 2024-11-05T14:44:20+05:00 - время события в Ideco NGFW;

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • CEF:0 - версия формата CEF;

  • Ideco - вендор;

  • NGFW - название продукта;

  • 17.0 - версия продукта;

  • 0|syslog|0 - идентификатор лога, постоянный для NGFW. Состоит из трех полей: идентификатор типа события, описание события, важность события.

Предотвращение вторжений
192.168.1.100 Nov 05 14:57:10 daemon warning 2024-11-05T14:44:20+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730799860 Severity=Warning DeviceProcessName=web-proxy DeviceCustomString1=1218332722865011 DeviceInboundInterface=seq:Leth1{3 DeviceProcessName=suricata_debug DeviceCustomString5=alert SourceAddress=192.168.101.25 DeviceCustomString1=local DeviceCustomString1Label=Src IP Type SourcePort=38003 SourceCountry= DeviceCustomString2= DeviceCustomString2Label=Src Country Code DeviceCustomString3=6103759e-5ad6-48b1-81b5-d15894b005ef DeviceCustomString3Label=Src session UUID SourceUserID=2 SourceUserName=user DestinationAddress=192.168.101.10 DeviceCustomString4=local DeviceCustomString4Label=Dst IP Type DestinationPort=53 DestinationCountry= DeviceCustomString5= DeviceCustomString5Label=Dst Country Code DeviceCustomString6= DeviceCustomString6Label=Dst session UUID DestinationUserID=-1 DestinationUserName= TransportProtocol=UDP DeviceEventClassID=1900005 Message=Mining pool DeviceEventCategory=Пулы криптомайнеров Severity=2 DeviceCustomString8=1 DeviceCustomString8Label=Alert GID DeviceCustomString9=blocked DeviceCustomString9Label=Alert action DestinationHostName= RequestUrl= RequestClientApplication= FlexNumber1=1 FlexNumber1Label=Flow packets to server FlexNumber2=0 FlexNumber2Label=Flow packets to client BytesIn=81 BytesOut=0 StartTime=2024-11-05 09:44:20.021521 EndTime=2024-11-05 09:44:20.021846 FlexNumber3=0 FlexNumber3Label=flow DeviceCustomString11= DeviceCustomString11Label=flow.state DeviceCustomString12= DeviceCustomString12Label=flow.reason FlexNumber4=0 FlexNumber4Label=flow.alerted DeviceCustomString14= DeviceCustomString14Label=tcp.tcp_flags DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc FlexNumber5=0 FlexNumber5Label=tcp.cwr FlexNumber6=0 FlexNumber6Label=tcp.ecn FlexNumber7=0 FlexNumber7Label=tcp.urg FlexNumber8=0 FlexNumber8Label=tcp.ack FlexNumber9=0 FlexNumber9Label=tcp.psh FlexNumber10=0 FlexNumber10Label=tcp.rst FlexNumber11=0 FlexNumber11Label=tcp.syn FlexNumber12=0 FlexNumber12Label=tcp.fin DeviceCustomString17= DeviceCustomString17Label=tcp.state

где:

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • DeviceCustomString1=1218332722865011 - внутренний идентификатор системы предотвращения вторжений flow (сессии);

  • DeviceInboundInterface=seq:Leth1{3 - содержит идентификатор входящего интерфейса;

  • DeviceProcessName=suricata_debug - имя экземпляра системы предотвращения вторжений;

  • DeviceCustomString5=alert - тип события;

  • SourceAddress=192.168.101.25 - IP-адрес источника;

  • DeviceCustomString1=local DeviceCustomString1Label=Src IP Type - тип IP-адреса источника (local - локальный, external - внешний);

  • SourcePort=38003 - порт источника;

  • SourceCountry - название местоположения источника;

  • DeviceCustomString2= DeviceCustomString2Label=Src Country Code - ISO-код страны источника;

  • DeviceCustomString3=6103759e-5ad6-48b1-81b5-d15894b005ef DeviceCustomString3Label=Src session UUID - внутренний идентификатор сессии Ideco NGFW источника;

  • SourceUserID=2 - идентификатор пользователя источника;

  • SourceUserName=user - имя пользователя источника;

  • DestinationAddress=192.168.101.10 - IP-адрес назначения;

  • DeviceCustomString4=local DeviceCustomString4Label=Dst IP Type - тип IP-адреса назначения (local - локальный, external - внешний);

  • DestinationPort=53 - порт назначения;

  • DestinationCountry - название местоположения назначения;

  • DeviceCustomString5= DeviceCustomString5Label=Dst Country Code - ISO-код страны назначения;

  • DeviceCustomString6= DeviceCustomString6Label=Dst session UUID - внутренний идентификатор сессии Ideco NGFW назначения;

  • DestinationUserID=-1 - идентификатор пользователя назначения;

  • DestinationUserName - имя пользователя назначения;

  • TransportProtocol=UDP - протокол;

  • DeviceEventClassID=1900005 - ID правила системы предотвращения вторжений;

  • Message=Mining pool - сообщение из сработавшего правила;

  • Severity=2 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

  • DeviceCustomString8=1 DeviceCustomString8Label=Alert GID - GID угрозы;

  • DeviceCustomString9=blocked DeviceCustomString9Label=Alert action - действие по отношению к угрозе (блокировать).

Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:

  • DestinationHostName - идентификатор хоста;

  • RequestUrl - URL, на который велось обращение;

  • RequestClientApplication - информация, идентифицирующая HTTP-клиента.

Служебные поля flow (сессии):

  • FlexNumber1=1 FlexNumber1Label=Flow packets to server - количество пакетов, переданное от клиента к серверу;

  • FlexNumber2=0 FlexNumber2Label=Flow packets to client - количество пакетов, переданное от сервера к клиенту;

  • BytesIn=81 - количество байт, переданное от клиента к серверу;

  • BytesOut=0 - количество байт, переданное от сервера к клиенту;

  • StartTime=2024-11-05 09:44:20.021521 - начало;

  • EndTime=2024-11-05 09:44:20.021846 - окончание;

  • FlexNumber3=0 FlexNumber3Label=flow - возраст;

  • DeviceCustomString11= DeviceCustomString11Label=flow.state - текущее состояние;

  • DeviceCustomString12= DeviceCustomString12Label=flow.reason - запущен ли IPsec в режиме отладки;

  • FlexNumber4=0 FlexNumber4Label=flow.alerted - сгенерировался ли поток alert.

  • DeviceCustomString14= DeviceCustomString14Label=tcp.tcp_flags - значение поля flags в заголовке TCP;

  • FlexNumber6=0 FlexNumber6Label=tcp.ecn - флаг TCP-пакета, информирующий получателя, что узел способен на явное уведомление о перегрузке сети;

  • FlexNumber7=0 FlexNumber7Label=tcp.urg - флаг TCP-пакета, указывающий важность пакета;

  • FlexNumber8=0 FlexNumber8Label=tcp.ack - флаг TCP-пакета, указывающий, что пакет получен;

  • FlexNumber9=0 FlexNumber9Label=tcp.psh - флаг TCP-пакета, информирующий получателя, что все данные переданы и можно передать их приложению;

  • FlexNumber10=0 FlexNumber10Label=tcp.rst - флаг TCP-пакета, указывающий, что соединение завершено в аварийном режиме;

  • FlexNumber11=0 FlexNumber11Label=tcp.syn - флаг TCP-пакета, отвечающий за установку соединения;

  • FlexNumber12=0 FlexNumber12Label=tcp.fin - флаг TCP-пакета, указывающий на завершение соединения в штатном порядке;

Файрвол

Логирование включается в разделе Правила трафика -> Файрвол -> Логирование.

192.168.1.100 Nov 05 16:49:00 daemon notice 2024-11-05T16:48:49+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730807329 Severity=Warning DeviceProcessName=ideco-nflog msg=TCP src 192.168.101.25 sport 52416 dst 161.148.164.31 dport 443 table FWD rule 1 action drop

где:

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • TCP - протокол. Это поле принимает значения: UDP, TCP, ICMP, GRE, ESP и AH;

  • src - IP-адрес источника;

  • sport - порт источника для UDP и TCP;

  • dst - IP-адрес назначения;

  • dport - порт назначения для UDP и TCP;

  • table - таблица правил, в которой произошло логирование;

  • rule - ID правила из таблицы;

  • action - действие, которое произошло.

Контроль приложений
192.168.1.100 Nov 05 16:07:01 daemon info 2024-11-05T16:06:52+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730804812 Severity=Notice DeviceProcessName=ideco-app-control msg=(flow_info_rules_was_checked) 192.168.101.25:37936 -> 192.168.101.10:53 [Nintendo] \= 'DROP'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • flow_info_rules_was_checked - идентификатор процесса;

  • 192.168.101.25:37936 - IP-адрес и порт источника;

  • 192.168.101.10:53 - IP-адрес и порт назначения;

  • DROP - результат анализа трафика;

Контент-фильтр

Логирование включается в разделе Сервисы -> Прокси -> Основное. Просмотр логов доступен в веб-интерфейсе в разделе Отчеты и журналы -> Журнал веб-доступа. Название служб для фильтрации: ideco-content-filter-backend и squid.

Пример блокировки ресурса:

192.168.1.100 Nov 06 16:39:20 daemon info 2024-11-06T18:39:18+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730900358 Severity=Notice DeviceProcessName=squid msg=192.168.101.25 - - [06/Nov/2024:18:39:18 +0500] "GET https://www.last.fm/ HTTP/1.1" 403 7479 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:131.0) Gecko/20100101 Firefox/131.0" TCP_DENIED:HIER_NONE "Custom deny 2 Запрещенные сайты users.id.2 group.id.1 " "av_name": "-", "av_object_infected": "-", "av_object_size": "-", "av_virus_name": "-"

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.101.25 - IP-адрес пользователя;

  • [06/Nov/2024:18:39:18 +0500] - дата/время события блокировки;

  • GET - метод;

  • https://www.last.fm/ - URL заблокированного ресурса;

  • HTTP/1.1 - протокол;

  • 403 - код состояния HTTP;

  • 7479 - передано байт (в ответ, включая HTTP-заголовок);

  • Mozilla/5.0 (X11; Linux x86_64; rv:131.0) Gecko/20100101 Firefox/131.0 - цифровой отпечаток браузера;

  • Custom deny 2 Запрещенные сайты users.id.2 group.id.1:

    • 2 Запрещенные сайты - название и номер правила блокировки;

    • users.id.2 - категория сайта;

    • group.id.1 - значение поля Применяется для в сработавшем правиле.

SSO-аутентификация
2024-07-18T17:11:40+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721304700 Severity=Notice DeviceProcessName=ideco-web-authd msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.205.254/32 - IP-адрес пользователя;

  • Sanek - логин пользователя;

  • type 'web' - тип авторизации (веб).

Авторизация через журнал безопасности AD
2024-07-18T17:20:22+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305222 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.205.254/32 - IP-адрес пользователя;

  • Sanek - логин пользователя;

  • type 'log' - тип авторизации (через журнал безопасности AD).

Веб-авторизация
192.168.1.100 Nov 05 18:18:58 daemon info 2024-11-05T18:18:51+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730812731 Severity=Notice DeviceProcessName=ideco-web-authd msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'web'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'web' - тип авторизации (веб).

Авторизация по IP
192.168.1.100 Nov 05 19:17:32 daemon info 2024-11-05T19:17:23+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730816243 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'ip'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'ip' - тип авторизации (IP).

Авторизация по MAC
192.168.1.100 Nov 05 19:23:03 daemon info 2024-11-05T19:22:55+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730816575 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'mac'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'mac' - тип авторизации (MAC).

Авторизация по подсети
192.168.1.100 Nov 05 19:27:05 daemon info 2024-11-05T19:26:58+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730816818 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.0/24 is authorized as user 'user'. Connection made from None, type 'net'

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 192.168.101.0/24 - подсеть, по которой происходит авторизация;

  • user - логин пользователя;

  • type 'net' - тип авторизации (подсеть).

Подключение по VPN
192.168.1.100 Nov 06 12:15:46 daemon info 2024-11-06T14:15:35+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730884535 Severity=Notice DeviceProcessName=ideco-vpn-authd msg=Subnet 10.128.0.3/32 is authorized as user 'user'. Connection made from '192.168.1.25', type 'pptp'.

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • 10.128.0.3/32 - сеть для VPN-подключений;

  • user - логин пользователя;

  • 192.168.1.25 - IP-адрес, откуда установлено подключение;

  • pptp - протокол.

Служба fail2ban
192.168.1.100 Nov 06 15:02:25 daemon info 2024-11-06T17:02:17+05:00 ngfw-17 CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1730894537 Severity=Notice DeviceProcessName=fail2ban msg=INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-06 17:02:16

  • deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

  • Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

  • DeviceProcessName - название службы NGFW;

  • INFO или NOTICE - приоритет сообщения в логах в виде информационного сообщения или уведомления;

  • INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-06 17:02:16 - факт обнаружения правил безопасности с указанием группы правил ([utm-vpn-authd]), IP-адреса и даты/времени. Список групп правил:

    • utm-dovecot - авторизация на почтовом сервере через почтовые клиенты;

    • utm-postfix-connrate - превышение лимита подключения к почтовому серверу;

    • utm-postscreen-prgrt - отслеживание нежелательных подключений (PREGREET) к почтовому серверу;

    • utm-reverse-proxy-conn - защита от DoS (лимит подключений);

    • utm-reverse-proxy-req - защита от DoS (лимит запросов в секунду);

    • utm-reverse-proxy - Web Application Firewall (WAF);

    • utm-roundcube - авторизация в веб-интерфейсы почтового сервера;

    • utm-smtp - авторизация по smtp;

    • utm-ssh - авторизация по ssh;

    • utm-two-factor-codes - прохождение двухфакторной аутентификации;

    • utm-vpn-authd - авторизация по VPN;

    • utm-vpn-pppoe-authd - авторизация по VPN PPPoE;

    • utm-web-interface - авторизация в административном веб-интерфейсе;

    • utm-user-cabinet - авторизация в пользовательском веб-интерфейсе.

Формат Syslog

Логи в Syslog-формате начинаются со строки вида:

192.168.1.100 Nov 05 19:30:56 1 daemon warning 2024-11-05T19:30:51+05:00

где:

  • 192.168.1.100 - IP-адрес NGFW отправителя;

  • Nov 05 14:42:25 - время получения события по Syslog;

  • warning - приоритет сообщения в логах. Другие значения: info (информационное сообщение), notice (уведомление);

  • 2024-11-05T14:36:17+05:00 - время события в Ideco NGFW.

Предотвращение вторжений
192.168.1.100	Nov 05 14:42:25 1 daemon warning 2024-11-05T14:36:17+05:00 ngfw-17 suricata - - - flow_id:534238476293026, in_iface:seq:Leth1{3, sensor_name:suricata_debug, event_type:alert, src_ip:192.168.101.25, src_ip_type:local, src_port:36872, src_country:, src_country_code:, src_session_uuid:6103759e-5ad6-48b1-81b5-d15894b005ef, src_user_id:2, src_user_name:user, dest_ip:192.168.101.10, dest_ip_type:local, dest_port:53, dest_country:, dest_country_code:, dest_session_uuid:, dest_user_id:-1, dest_user_name:, proto:UDP, alert.signature_id:1900005, alert.signature:Mining pool, alert.category:Пулы криптомайнеров, alert.severity:2, alert.gid:1, alert.action:blocked, http.hostname:, http.url:, http.http_user_agent:, flow.pkts_toserver:1, flow.pkts_toclient:0, flow.bytes_toserver:81, flow.bytes_toclient:0, flow.start:2024-11-05 09:36:17.714211, flow.end:2024-11-05 09:36:17.714612, flow.age:0, flow.state:, flow.reason:, flow.alerted:0, tcp.tcp_flags:, tcp.tcp_flags_ts:, tcp.tcp_flags_tc:, tcp.cwr:0, tcp.ecn:0, tcp.urg:0, tcp.ack:0, tcp.psh:0, tcp.rst:0, tcp.syn:0, tcp.fin:0, tcp.state:

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • suricata - название службы;

  • flow_id:534238476293026 - внутренний идентификатор системы предотвращения вторжений flow (сессии);

  • in_iface:seq:Leth1{3 - содержит идентификатор входящего интерфейса;

  • sensor_name:suricata_debug - имя экземпляра системы предотвращения вторжений;

  • event_type:alert - тип события;

  • src_ip:192.168.101.25 - IP-адрес источника;

  • src_port:36872 - порт источника;

  • src_country: - название местоположения источника;

  • src_country_code: - ISO-код страны источника;

  • src_session_uuid:6103759e-5ad6-48b1-81b5-d15894b005ef - внутренний идентификатор сессии Ideco NGFW источника;

  • src_user_id:2 - идентификатор пользователя источника;

  • src_user_name:user- имя пользователя источника;

  • dest_ip:192.168.101.10 - IP-адрес назначения;

  • dest_port:53 - порт назначения;

  • dest_country: - название местоположения назначения;

  • dest_country_code: - ISO-код страны назначения;

  • dest_session_uuid: - внутренний идентификатор сессии Ideco NGFW назначения;

  • dest_user_id:-1 - идентификатор пользователя назначения;

  • dest_user_name: - имя пользователя назначения;

  • proto:UDP - протокол;

  • alert.signature_id:1900005 - ID правила системы предотвращения вторжений;

  • alert.signature:Mining pool - сообщение из сработавшего правила;

  • alert.severity:2 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

  • alert.gid:1 - GID угрозы;

  • alert.action:blocked - действие по отношению к угрозе (блокировать).

Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:

  • http.hostname: - идентификатор хоста;

  • http.url: - URL, на который велось обращение;

  • http.http_user_agent: - информация, идентифицирующая HTTP-клиента.

Служебные поля flow (сессии):

  • flow.pkts_toserver:1 - количество пакетов, переданное от клиента к серверу;

  • flow.pkts_toclient:0 - количество пакетов, переданное от сервера к клиенту;

  • flow.bytes_toserver:81 - количество байт, переданное от клиента к серверу;

  • flow.bytes_toclient:0 - количество байт, переданное от сервера к клиенту;

  • flow.start:2024-11-05 09:36:17.714211 - начало;

  • flow.end:2024-11-05 09:36:17.714612 - окончание;

  • flow.age:0 - возраст;

  • flow.state: - текущее состояние;

  • flow.reason: - запущена ли IPsec в режиме отладки;

  • flow.alerted:0 - сгенерировался ли поток alert.

  • tcp.tcp_flags: - значение поля flags в заголовке TCP;

  • tcp.ecn:0 - флаг TCP-пакета, информирующий получателя, что узел способен на явное уведомление о перегрузке сети;

  • tcp.urg:0 - флаг TCP-пакета, указывающий важность пакета;

  • tcp.ack:0 - флаг TCP-пакета, указывающий, что пакет получен;

  • tcp.psh:0 - флаг TCP-пакета, информирующий получателя, что все данные переданы и можно передать их приложению;

  • tcp.rst:0 - флаг TCP-пакета, указывающий, что соединение завершено в аварийном режиме;

  • tcp.syn:0 - флаг TCP-пакета, отвечающий за установку соединения;

  • tcp.fin:0 - флаг TCP-пакета, указывающий на завершение соединения в штатном порядке;

Файрвол
192.168.1.100 Nov 05 16:50:52 1 daemon notice 2024-11-05T16:50:46+05:00 ngfw-17 ideco-nflog - - - TCP src 192.168.101.25 sport 35468 dst 161.148.164.31 dport 443 table FWD rule 1 action drop

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-nflog - название службы;

  • TCP - протокол, принимает значения: UDP, TCP, ICMP, GRE, ESP и AH;

  • src - IP-адрес источника;

  • sport - порт источника для UDP и TCP;

  • dst - IP-адрес назначения;

  • dport - порт назначения для UDP и TCP;

  • table - таблица правил, в которой произошло логирование;

  • rule - ID правила из таблицы;

  • action - действие, которое произошло.

Контроль приложений
192.168.1.100 Nov 05 16:04:58 1 daemon info 2024-11-05T16:04:51+05:00 ngfw-17 ideco-app-control - - - (flow_info_rules_was_checked) 192.168.101.25:43800 -> 192.168.101.10:53 [Nintendo] = 'DROP'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-app-control - название службы;

  • 192.168.101.25:43800 - IP-адрес и порт источника;

  • 192.168.101.10:53 - IP-адрес и порт назначения;

  • DROP - результат анализа трафика;

Контент-фильтр

Логирование включается в разделе Сервисы -> Прокси -> Основное. Просмотр логов доступен в веб-интерфейсе в разделе Отчеты и журналы -> Журнал веб-доступа. Название служб для фильтрации: ideco-content-filter-backend и squid.

Пример блокировки ресурса:

192.168.1.100 Nov 06 16:40:56 1 daemon info 2024-11-06T18:40:50+05:00 ngfw-17 squid - - - 192.168.101.25 - - [06/Nov/2024:18:40:50 +0500] "GET https://www.last.fm/ HTTP/1.1" 403 7479 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:131.0) Gecko/20100101 Firefox/131.0" TCP_DENIED:HIER_NONE "Custom deny 2 Запрещенные сайты users.id.2 group.id.1 " "av_name": "-", "av_object_infected": "-", "av_object_size": "-", "av_virus_name": "-"

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • squid - название службы;

  • 192.168.101.25 - IP-адрес пользователя;

  • [06/Nov/2024:18:40:50 +0500] - дата/время события блокировки;

  • GET - метод;

  • https://www.last.fm/ - URL заблокированного ресурса;

  • HTTP/1.1 - протокол;

  • 403 - код состояния HTTP;

  • 7479 - передано байт (в ответ, включая HTTP-заголовок);

  • Mozilla/5.0 (X11; Linux x86_64; rv:131.0) Gecko/20100101 Firefox/131.0 - цифровой отпечаток браузера;

  • Custom deny 2 Запрещенные сайты users.id.2 group.id.1:

    • 2 Запрещенные сайты - название и номер правила блокировки;

    • users.id.2 - категория сайта;

    • group.id.1 - значение поля Применяется для в сработавшем правиле.

SSO-аутентификация
2024-07-18T16:59:55+05:00 Ideco-NGFW ideco-web-authd - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.

  • Ideco-NGFW - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-web-authd - название службы;

  • 192.168.205.254/32 - IP-адрес пользователя;

  • Sanek - логин пользователя;

  • type 'web' - тип авторизации (веб).

Авторизация через журнал безопасности AD
2024-07-18T16:19:39+05:00 Ideco-NGFW ideco-auth-backend - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.

  • Ideco-NGFW - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-auth-backend - название службы;

  • 192.168.205.254/32 - IP-адрес пользователя;

  • Sanek - логин пользователя;

  • type 'log' - тип авторизации (через журнал безопасности AD).

Веб-авторизация
192.168.1.100 Nov 05 18:12:01 1 daemon info 2024-11-05T18:11:48+05:00 ngfw-17 ideco-web-authd - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'web'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-web-authd - название службы;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'web' - тип авторизации (веб).

Авторизация по IP
192.168.1.100 Nov 05 19:38:58 1 daemon info 2024-11-05T19:38:46+05:00 ngfw-17 ideco-auth-backend - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'ip'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-auth-backend - название службы;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'ip' - тип авторизации (IP).

Авторизация по MAC
192.168.1.100 Nov 05 19:32:47 1 daemon info 2024-11-05T19:32:34+05:00 ngfw-17 ideco-auth-backend - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'mac'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-auth-backend - название службы;

  • 192.168.101.25/32 - IP-адрес пользователя;

  • user - логин пользователя;

  • type 'mac' - тип авторизации (MAC).

Авторизация по подсетям
192.168.1.100 Nov 05 19:30:56 1 daemon info 2024-11-05T19:30:51+05:00 ngfw-17 ideco-auth-backend - - - Subnet 192.168.101.0/24 is authorized as user 'user'. Connection made from None, type 'net'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-auth-backend - название службы;

  • 192.168.101.0/24 - подсеть пользователя;

  • user - логин пользователя;

  • type 'net' - тип авторизации (подсеть).

Подключение по VPN
192.168.1.100 Nov 06 12:12:36 1 daemon info 2024-11-06T14:12:24+05:00 ngfw-17 ideco-vpn-authd - - - Subnet 10.128.0.3/32 is authorized as user 'user'. Connection made from '192.168.1.25', type 'pptp'.

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • ideco-vpn-authd - название службы;

  • 10.128.0.3/32 - сеть для VPN-подключений;

  • user - логин пользователя;

  • 192.168.1.25 - IP-адрес, с которого установлено подключение;

  • pptp - протокол.

Служба fail2ban
192.168.1.100 Nov 06 15:14:42 1 daemon info 2024-11-06T17:14:30+05:00 ngfw-17 fail2ban - - - INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-06 17:14:30

  • ngfw-17 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

  • fail2ban - название службы;

  • INFO или NOTICE - приоритет сообщения в логах в виде информационного сообщения или уведомления;

  • INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-06 17:02:16 - факт обнаружения правил безопасности с указанием группы правил ([utm-vpn-authd]), IP-адреса и даты/времени. Список групп правил:

    • utm-dovecot - авторизация на почтовом сервере через почтовые клиенты;

    • utm-postfix-connrate - превышение лимита подключения к почтовому серверу;

    • utm-postscreen-prgrt - отслеживание нежелательных подключений (PREGREET) к почтовому серверу;

    • utm-reverse-proxy-conn - защита от DoS (лимит подключений);

    • utm-reverse-proxy-req - защита от DoS (лимит запросов в секунду);

    • utm-reverse-proxy - Web Application Firewall (WAF);

    • utm-roundcube - авторизация в веб-интерфейсы почтового сервера;

    • utm-smtp - авторизация по smtp;

    • utm-ssh - авторизация по ssh;

    • utm-two-factor-codes - прохождение двухфакторной аутентификации;

    • utm-vpn-authd - авторизация по VPN;

    • utm-vpn-pppoe-authd - авторизация по VPN PPPoE;

    • utm-web-interface - авторизация в административном веб-интерфейсе;

    • utm-user-cabinet - авторизация в пользовательском веб-интерфейсе.

DeviceEventCategory=Пулы криптомайнеров - описание колонки в веб-интерфейсе События безопасности. Соответствие alert.category: -> alert.signature описаны в ;

Состояние флага :

DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts - ;

DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc - ;

FlexNumber5=0 FlexNumber5Label=tcp.cwr - флаг TCP-пакета, информирующий отправителя, что получен пакет с установленным флагом ECE (Подробнее в );

DeviceCustomString17= DeviceCustomString17Label=tcp.state - .

[Nintendo] - название приложения, к которому применен результат. .

TCP_DENIED:HIER_NONE - техническое сообщение от ;

alert.category:Пулы криптомайнеров - описание колонки в веб-интерфейсе События безопасности. Соответствие alert.category: -> alert.signature описаны в ;

Состояние флага :

tcp.tcp_flags_ts: - ;

tcp.tcp_flags_tc: - ;

tcp.cwr:0 - флаг TCP-пакета, информирующий отправителя, что получен пакет с установленным флагом ECE (Подробнее в );

tcp.state: - .

[Nintendo] - название приложения, к которому применен результат. .

TCP_DENIED:HIER_NONE - техническое сообщение от ;

файле
TCP flow (сессии)
timestamp флаги
флаг Truncated response
RFC-3186
состояния сеанса TCP
Список всех приложений
squid
файле
TCP flow(сессии)
timestamp флаги
флаг Truncated response
RFC-3186
состояния сеанса TCP
Список всех приложений
squid
ссылке