Логирование

Принцип работы

Весь поступающий трафик в первую очередь проходит через правила вкладки Логирование. Если трафик соответствует критериям таблицы Трафик для логирования, то на пакете ставится виртуальная метка о необходимости логирования. По умолчанию метки нет.

Далее трафик проходит через правила в таблицах Файрвола. Если при срабатывании правила на трафике стояла метка логирования и действие соответствовало выборке Действий для логирования, то в логи попадают:

• стандартные поля логирования;

• атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);

• название таблицы Файрвола;

• идентификатор правила Файрвола;

• действие, которое произошло.

Для просмотра логов перейдите в раздел Отчеты и журналы -> Системный журнал и настройте фильтр событий (Служба - равен - ideco-nflog). Логи могут отправляться в сторонние коллекторы через syslog.

Логирование срабатываний всех правил Файрвола требует дополнительных ресурсов на сервере и затрудняет отладку правил. Если для работы логирование не требуется, рекомендуем отключить опцию Логировать срабатывания правил.

Трафик для логирования

Выберите действия правил Файрвола, которые требуется логировать, нажав на . Такая система ограничений нужна для исключения неподходящих правил Файрвола из логирования.

Правила Логирования позволяют гибко выбрать трафик для логирования. Создайте и включите в таблице правило для трафика. Соединение залогируется, если сработает правило Файрвола с трафиком, подходящим под правило логирования.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать.

4. В поле Дополнительно включите правило: