Функция экспортирования журналов UserGate позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
UserGate поддерживает выгрузку следующих журналов:
-
Журнал событий.
-
Журнал веб-доступа.
-
Журнал СОВ.
-
Журнал трафика.
-
Журнал АСУ ТП.
-
Журнал инспектирования SSH.
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.
Примечание
Если в настройках указан Log Analyzer, то обработка и экспорт журналов, создание отчётов и обработка других статистических данных производятся сервером LogAn.
При создании конфигурации требуется указать следующие параметры:
Наименование |
Описание |
---|---|
Название правила |
Название правила экспорта журналов. |
Описание |
Опциональное поле для описания правила. |
Журналы для экспорта |
Выбор файлов журналов, которые необходимо экспортировать:
Для каждого из журналов возможно указать синтаксис выгрузки:
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов. Подробное описание форматов журналов читайте в Приложение 4. Описание форматов журналов. |
Тип сервера |
SSH (SFTP), FTP, Syslog. |
Адрес сервера |
IP-адрес или доменное имя сервера. |
Транспорт |
Только для типа серверов Syslog - TCP или UDP. |
Порт |
Порт сервера, на который следует отправлять данные. |
Протокол |
Только для типа серверов Syslog - RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM. |
Критичность |
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
Facility |
Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:
|
Имя хоста |
Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN). |
App-Name |
Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog. |
Логин |
Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog. |
Пароль |
Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog. |
Путь на сервере |
Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog. |
Расписание |
Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
Управление журналами |
Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp. При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временные файлы. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки. Всего хранятся N архивов журналов за предыдущие дни (по количеству дней ротации) и один журнал за текущий день. |