Экспорт журналов

Наименование

Описание

Название правила

Название правила экспорта журналов.

Описание

Опциональное поле для описания правила.

Журналы для экспорта

Выбор файлов журналов, которые необходимо экспортировать:

* Журнал веб-доступа.

* Журнал СОВ.

* Журнал трафика.

Для каждого из журналов возможно указать синтаксис выгрузки:

* CEF -- Common Event Format (ArcSight).

* JSON -- JSON format.

* @CEE: JSON - CEE Log Syntax (CLS) Encoding JSON.

Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.

Тип сервера

SSH (SFTP), FTP, Syslog.

Адрес сервера

IP-адрес или доменное имя сервера.

Транспорт

Только для типа серверов Syslog - TCP или UDP.

Порт

Порт сервера, на который следует отправлять данные.

Протокол

Только для типа серверов Syslog -- RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.

Критичность

Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:

0 - Emergency: system is unusable.

1 - Alert: action must be taken immediately.

2 - Critical: critical conditions.

3 - Error: error conditions.

4 - Warning: warning conditions.

5 - Notice: normal but significant condition.

6 - Informational: informational messages.

7 - Debug: debug-level messages.

Facility

Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:

0 - kernel messages.

1 - user-level messages.

2 - mail system.

3 - system daemons.

4 - security/authorization messages.

5 - messages generated internally by syslogd.

6 - line printer subsystem.

7 - network news subsystem.

8 - UUCP subsystem.

9 - clock daemon.

10 - security/authorization messages.

11 - FTP daemon.

12 - NTP subsystem.

13 - log audit.

14 - log alert.

15 - clock daemon (note 2).

16 - local use 0 (local0).

17 - local use 1 (local1).

18 - local use 2 (local2).

19 - local use 3 (local3).

20 - local use 4 (local4).

21 - local use 5 (local5).

22 - local use 6 (local6).

23 - local use 7 (local7).

Имя хоста

Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN).

App-Name

Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog.

Логин

Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Пароль

Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Повторите пароль

Подтверждение пароля учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Путь на сервере

Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.

Расписание

Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:

* Ежедневно.

* Еженедельно.

* Ежемесячно

* Каждые ... часов.

* Каждые ... минут.

* Задать вручную.

При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:

* Звездочка (*) - обозначает весь диапазон (от первого до последнего).

* Дефис (-) - обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

* Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

* Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.