Логирование

Как настроить логирование срабатывания правил Файрвола.

Принцип работы

Соединения, установленные до создания правил логирования, залогированы не будут. Если приходит пакет, атрибуты которого (протокол, порты и IP-адрес) соответствуют уже созданному соединению, к нему применяются те же действия, что и к другим пакетам этого соединения.

Первый пакет нового соединения (протокол, порты, IP-адреса не соответствуют атрибутам уже установленного соединения) проходит через правила вкладки Логирование. Если атрибуты пакета соответствуют правилу логирования, то на пакет ставится метка логирования. По умолчанию метки нет.

Далее трафик проходит через правила в таблицах Файрвола. Если при срабатывании правила на пакете стояла метка логирования, то в логи попадают следующие данные:

Атрибуты пакета, с которым произошло событие (протокол, порты и IP-адреса);
Данные правил Файрвола: идентификатор правила, название таблицы и действие, которое произошло;
Информация по DNAT: идентификатор правила, измененный IP-адрес и порт назначения;
Информация по SNAT: идентификатор правила, измененный IP-адрес источника;
Если в правиле указаны профили безопастности:
- Данные профиля Контроля приложений: профиль, действие, протокол прикладного уровня, приложение;
- Данные профиля Предотвращения вторжения: профиль, ID соединения, действие и ID сигнатуры.

Для просмотра логов перейдите в раздел Отчеты и журналы -> Журнал трафика. Логи могут отправляться в сторонние коллекторы через syslog.

Модули Контроль приложений и Предотвращение вторжений могут задерживать решение о блокировке или разрешении соединения, поэтому информация в журнале появляется не сразу. После принятия решения запись в Журнале трафика обновляется.

Включите опцию Логировать срабатывания правил для начала логирования.

Если ни одно правило в таблице не задано, срабатывание правил логироваться не будет.

Не рекомендуем включать логирование всего трафика, так как при высоком потоке новых соединений логирование требует дополнительных ресурсов на сервере и возможна потеря части логов. Логирование необходимо, например, для определения модуля, блокирующего доступ в интернет. Если для работы логирование не требуется, рекомендуем отключить опцию Логировать срабатывания правил.

Трафик для логирования

Правила Логирования позволяют гибко выбрать трафик для логирования. Создайте и включите в таблице правило логирования. Соединение залогируется и отразится в Журнале трафика при срабатывании правила Файрвола.

Действие Не логировать позволяет снять метку логирования.

Пример: требуется настроить логирование всего трафика на yandex.ru, кроме трафика от пользователя Иванова Ивана:

1. В поле Источник выберите Иванова Ивана и переведите опцию Инвертировать источник в положение Включен.

2. В поле Назначение выберите yandex.ru.

3. Выберите действие Логировать.

4. В поле Дополнительно включите правило:

PreviousПримеры создания правил файрвола NextТестирование правил

Last updated 18 days ago

Was this helpful?