13.2. Поиск

Во вкладке Поиск отражён список всех событий журналов подключённых сенсоров и событий журналов Log Analyzer. С использованием строки поиска можно производить поиск нужных событий. Строка поиска использует SQL-подобный поисковый запрос. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы. Синтаксис написания запроса можно просмотреть в разделе Поиск и фильтрация данных. Запрос также может быть написан с использованием синтаксиса Google/RE2 в операторе MATCH.

С использованием кнопки Добавить правило, можно добавить новое правило аналитики, в котором в качестве запроса фильтра будет указан введённый поисковый запрос. Подробнее о правилах аналитики смотрите в разделе Аналитика.

Также, нажатием кнопки Добавить условие, по введённому поисковому запросу можно сформировать условие и добавить его в созданное ранее правило аналитики. При добавлении необходимо указать правило аналитики и имя условия.

Выбранное событие можно добавить в инцидент нажатием кнопки Добавить в инцидент. Подробнее об инцидентах читайте в главе Настройки инцидентов.

Существует 2 режима представления данных о событиях: табличный вид и текстовый вид. Для перехода в выбранный режим используются кнопки Переключить в текстовый вид или Переключить в табличный вид.

Во вкладке Поиск можно увидеть следующую информацию о событиях.

Наименование в базе данных

Наименование в поисковом запросе

Описание

Узел

node

Показано имя узла устройства NGFW или LogAn.

Время

date

Указано время события или срабатывания правила аналитики. Отображается в часовом поясе, настроенном на UserGate LogAn.

Время первого события

triggeredAlertFirstEventDate

Для журнала срабатываний: отображено время первого события, попавшего под срабатывание правила аналитики.

Время последнего события

triggeredAlertLastEventDate

Для журнала срабатываний: отображено время последнего события, попавшего под срабатывание правила аналитики.

Источник

source

Показан журнал, в который записано событие: журналы LogAn, NGFW, конечных устройств, срабатываний.

Важность

severity

Отражена категория события журналов событий NGFW, LogAn:

  • Информационные: как правило, не требуют внимания администратора.

  • Предупреждение: предупреждают о возможных проблемах.

  • Ошибка: сообщают об ошибках.

  • Критические: сообщают о серьёзных ошибках, которые могут повлиять на функциональность.

Компонент

component

Отражён компонент, в котором произошло событие (например: обновления, настройки, консольная авторизация, аналитика и т.п.). Относится к записям журнала событий NGFW и LogAn.

Тип события

event

Отображён тип события из журнала событий NGFW, LogAn (например: проверка, скачивание, установка обновлений, успешная/неуспешная авторизация, поиск параметров и т.п.).

Пользователь

user

Показано имя пользователя, с учётной записи которого был совершён вход в систему NGFW, LogAn, конечного устройства. Относится к записям журналов событий NGFW, LogAn и конечных устройств, веб доступа, трафика, СОВ, срабатываний.

Модуль

module

Указан модуль, в котором произошло событие (например: Web console, Core, VPN сервер и т.п.). Относится к записям журнала событий NGFW, LogAn.

Учёт изменений

changeTracker

Указан тип изменений (журнал событий LogAn, NGFW). Возможные типы изменений пользователь может задать самостоятельно.

Данные

data

Представлена подробная информация о событии. Относится к записям журналов событий конечных устройств и Syslog.

Информация

details

Представлена подробная информация о событии из журнала событий Log Analyzer и NGFW.

Правило

rule

Отображено название правила аналитики, межсетевого экрана, контентной фильтрации, АСУ ТП или СОВ.

Действие

action

Отображено действие, настроенное в правилах межсетевого экрана, контентной фильтрации, АСУ ТП или СОВ:

  • Разрешить (allow/pass/allow_webaccess): действие, настроенное в правилах межсетевого экрана, СОВ или контентной фильтрации.

  • Безопасный поиск ('safe browsing').

  • Captive-портал ('captive portal').

  • Предупредить (warning): действие, настроенное в правилах контентной фильтрации.

  • Уведомление (alert): относится к DoS защите на зоне.

  • NAT (nat).

  • DNAT (dnat).

  • Порт-форвардинг ('port forwarding').

  • Policy-based routing ('policy based routing').

  • Network mapping ('network mapping').

  • Запретить (deny/drop/deny_webaccess): действие, настроенное в правилах межсетевого экрана, СОВ или контентной фильтрации.

  • Расшифровать (decrypt): действие, настроенное в правилах инспектирования.

  • Журналировать (log): действие, настроенное в правилах СОВ.

  • Пропускать (pass): действие, настроенное в правилах АСУ ТП.

  • Блокировать (drop): действие, настроенное в правилах АСУ ТП.

Приложение

application

Название приложения. Относится к записям журнала трафика, СОВ, Syslog, журналов правил и приложений конечных устройств.

Сетевой протокол

networkProtocol

Показан транспортный протокол подключения, использующийся для доступа к ресурсу. Относится к записям журналов трафика, СОВ, журнала правил конечных устройств.

Протокол прикладного уровня

httpProtocol

Указана версия HTTP протокола. Относится к записям журнала веб-доступа.

Категории сайтов

urlCategory

Отображены категории, к которым относится сайт. Относится к записям журнала веб-доступа и журнала правил конечных устройств.

Причины

  

Отображены причины из журнала веб-доступа (например: причина блокировки).

HTTP метод

httpMethod

Отображен метод HTTP (основная операция над ресурсом).

  • OPTIONS: используется для определения возможностей веб-сервера или параметров соединения для конкретного ресурса.

  • GET: используется для запроса содержимого указанного ресурса.

  • HEAD: аналогичен методу GET, за исключением того, что в ответе сервера отсутствует тело.

  • POST: применяется для передачи пользовательских данных заданному ресурсу.

  • PUT: используется для загрузки содержимого запроса на указанный в запросе URI.

  • PATCH: аналогично PUT, но применяется только к фрагменту ресурса.

  • DELETE: удаляет указанный ресурс.

  • TRACE: возвращает полученный запрос так, что клиент может увидеть, какую информацию промежуточные серверы добавляют или изменяют в запросе.

  • CONNECT: преобразует соединение запроса в прозрачный TCP/IP-туннель.

Относится к записям журнала веб-доступа.

Код ответа HTTP

statusCode

Отображён код состояния, являющийся частью первой строки ответа от сервера при запросах по протоколу HTTP. Относится к записям журнала веб-доступа.

Тип контента

mime

Показан тип контента. Является записью журнала веб-доступа и журнала правил конечных устройств.

URL

url

Показан URL-адрес ресурса, к которому было выполнено обращение. Относится к записям журнала веб-доступа.

Реферер

referer

Отображён URL-адрес предыдущей страницы (если есть). Относится к записям журнала веб-доступа.

Операционная система

operatingSystem

Отображён тип операционной системы устройства пользователя. Относится к записям журнала веб-доступа и СОВ.

User-agent

userAgent

Указан Useragent пользовательского браузера. Относится к записям журнала веб-доступа.

Сигнатуры

signature

Отображено имя сработавшей сигнатуры системы обнаружения вторжений (СОВ). Является параметром журнала СОВ.

Зона источника

zoneSource

Указана зона источника. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ.

IP источника

ipSource

Показан IP-адрес источника трафика. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.

Порт источника

portSource

Отображён номер порта источника, через который осуществляется подключение. Относится к записям журналов веб-доступа, трафика, СОВ, журнала правил конечных устройств.

MAC источника

macSource

Показан МАС-адрес источника. Относится к записям журналов трафика и СОВ.

Зона назначения

zoneDest

Отображена зона назначения. Относится к записям журналов веб-доступа, трафика, СОВ, журнала правил конечных устройств.

IP назначения

ipDest

Показан IP-адрес назначения трафика. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.

Порт назначения

portDest

Указан номер порта назначения, используемый транспортным протоколом. Относится к записям журналов веб-доступа, трафика, АСУ ТП, СОВ, журнала правил конечных устройств.

MAC назначения

macDest

Показан МАС-адрес назначения. Относится к записям журналов трафика и СОВ.

NAT адрес источника

natIpSource

Отображён NAT IP-адрес источника (если настроены правила NAT). Относится к записям журнала трафика.

NAT порт источника

natPortSource

Отображён NAT порт источника (если настроены правила NAT). Относится к записям журнала трафика.

NAT адрес назначения

natIpDest

Отображён NAT IP-адрес назначения (если настроены правила NAT). Относится к записям журнала трафика.

NAT порт назначения

natPortDest

Отображён NAT порт назначения (если настроены правила NAT). Относится к записям журнала трафика.

Байт отправлено/получено

bytesSent/bytesRecv

Отображён отправленный/полученный объём информации. Относится к записям журналов трафика и веб-доступа.

Пакетов отправлено/получено

packetSent/packetRecv

Показано количество отправленных/полученных пакетов. Относится к записям журналов трафика и веб-доступа.

Конечное устройство/сенсор

sensor

Отображено имя конечного устройства/сенсора. Относится к записям журнала событий конечных устройств.

Счётчик

counter

Название счётчика, добавленного в WMI и SNMP сенсор. Относится к записям журнала событий конечных устройств.

Объект SNMP

snmpObject

Указан идентификатор SNMP объекта (SNMP OID). Относится к записям журнала событий конечных устройств.

Тип SNMP объекта

snmpObjectType

Указан тип SNMP объекта. Относится к записям журнала событий конечных устройств.

Статус

status

Отображён результат выполнения WMI или SNMP запроса (OK или Error). Относится к записям журнала событий конечных устройств.

Ошибка

error

Показана ошибка WMI или SNMP, возникшая в результате выполнения запроса. Относится к записям журнала событий конечных устройств.

Протокол АСУТП

scadaProtocol

Указан протокол SCADA (Supervisory Control And Data Acquisition -- диспетчерское управление и сбор данных).

  • IEC 104 (ГОСТ Р МЭК 60870-5-104).

  • Modbus.

  • DNP3 (Distributed Network Protocol).

  • MMS (Manufacturing Message Specification).

  • OPC UA (Open Platform Communications Unified Architecture).

Относится к записям журнала АСУ ТП.

Уровень лога

logLevel

Указан тип события:

  • Audit Success (успешный аудит): событие журнала безопасности, которое происходит при успешном обращении к аудируемым ресурсам.

  • Audit Failure (неуспешный аудит): событие журнала безопасности, которое происходит при неуспешном обращении к аудируемым ресурсам.

  • Error (ошибка): событие указывает на существенные проблемы, которые могут стать причиной потери функциональности или данных.

  • Information (сведения): информационные события, которые, как правило, не требуют внимания администратора.

  • Warning (предупреждение): события указывают на проблемы, которые не требуют немедленного исправления, однако могут привести к ошибкам в будущем.

Относится к записям журнала событий конечных устройств.

Источник журнала событий

logEventSource

Отображено название программного обеспечения, которое сформировало запись события в журнал. Относится к записям журнала событий конечных устройств.

Категория лога

logCategory

Указана категория лога, необходимая для упорядочивания событий. Данные берутся из Windows EventLog. Каждый источник может определять свои идентификаторы категорий. Относится к записям журнала событий конечных устройств.

Категория задачи

taskCategory

Показана категория задачи. Является записью журнала событий конечных устройств.

Имя компьютера

computerName

Представлено полное имя конечного устройства. Относится к записям журналов событий конечных устройств, Syslog.

Код события лога

logEventCode

Отображён код события лога, соответствующий определённому событию. Является записью журнала событий конечных устройств.

Идентификатор события лога

logEventId

Показан идентификатор события лога, который определяет первичный идентификатор события. Относится к записям журнала событий конечных устройств.

Тип события лога

logEventType

Отображён тип события лога. Он представлен параметрами, каждый из которых соответствует уровню лога:

  • 1 - уровень лога: error.

  • 2 - уровень лога: warning.

  • 3 - уровень лога: information.

  • 4 - уровень лога: audit success.

  • 5 - уровень лога: audit failure.

Относится к записям журнала событий конечных устройств.

Строка вставки

insertionString

Отображены данные блока EventData события Windows. Относится к записям журнала событий конечных устройств.

Файл журнала лога

logFile

Показана информация из журнала событий конечных устройств, т.е. информация о важных программных и аппаратных событиях. Типы журналов:

  • Application (файл журнала приложений): для событий приложений и служб.

  • Security (файл журнала безопасности): для событий системы аудита.

  • System (файл системного журнала): для событий драйверов устройств.

  • CustomLog: журнал содержит события, регистрируемые приложениями, которые создают пользовательский журнал. Использование пользовательского журнала позволяет приложению управлять размером журнала или присоединять списки управления доступом в целях безопасности, не затрагивая другие приложения.

Относится к записям журнала событий конечных устройств.

Команда

scadaCommand

Отображена команда управления АСУ ТП (например: чтение или запись). Относится к записям журнала АСУ ТП.

Адрес регистра

scadaAddress

Представлен адрес регистра, с которым необходимо провести операцию (запись или чтение). Относится к записям журнала АСУ ТП.

Номер ASDU

scadaAsdu

Показан адрес ASDU (COA -- Common Object Address). Параметр относится к протоколу IEC-104. Относится к записям журнала АСУ ТП.

Идентификатор устройства

scadaDevice

Указан уникальный номер устройства, содержащийся в базе данных OPC-сервера. Параметр относится к протоколу OPC UA. Относится к записям журнала АСУ ТП.

Имя переменной

scadaVarname

Отображено имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS. Относится к записям журнала АСУ ТП.

Хэш

hash

Показан хэш приложения. Является параметром журнала приложений конечных устройств.

Объект

facility

Отображена категория события. Относится к записям журнала Syslog. Возможны следующие значения:

  • Сообщения ядра.

  • Сообщения пользовательские.

  • Почтовая система.

  • Системный сервис.

  • Безопасность/авторизация.

  • Сообщения syslog.

  • Система печати LPR.

  • Система сетевых новостей.

  • Подсистема UUCP.

  • Сервис времени.

  • Безопасность/аутентификация.

  • FTP сервис.

  • Система NTP.

  • Аудит.

  • Тревога.

  • Сервис времени 2.

  • Local 0 - Local7.

Критичность

syslogSeverity

Указана критичность событий журнала Syslog.

  • Экстренная: критическое состояние, которое сказывается на работоспособности системы.

  • Тревога: состояние, требующее незамедлительного вмешательства.

  • Критическая: состояние, требующее незамедлительного вмешательства либо предупреждающее о сбое в системе.

  • Ошибки: несрочные сбои в системе.

  • Предупреждения: предупреждения о возможном возникновении ошибок, если не будут предприняты никакие действия.

  • Уведомительная: события, которые относятся к необычному поведению системы, но не являются ошибками.

  • Информативная: информационные уведомления.

  • Отладочная: информация, полезная разработчикам для отладки приложений.

Идентификатор процесса

processId

Указан идентификатор процесса. Относится к записям журнала Syslog.

Администратор может выбрать для показа только те столбцы, которые ему необходимы. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.