Syslog

2024-11-18T15:38:54+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731926334 Severity=Warning DeviceProcessName=web-proxy DeviceCustomString1=1881087344384816 DeviceInboundInterface= DeviceProcessName=ideco-ips DeviceCustomString5=alert SourceAddress=192.168.101.25 DeviceCustomString1=local DeviceCustomString1Label=Src IP Type SourcePort=55644 SourceCountry= DeviceCustomString2= DeviceCustomString2Label=Src Country Code DeviceCustomString3=34fbd7c6-716b-4858-bb68-313729b1cad4 DeviceCustomString3Label=Src session UUID SourceUserID=9 SourceUserName=user DestinationAddress=212.70.163.70 DeviceCustomString4=external DeviceCustomString4Label=Dst IP Type DestinationPort=443 DestinationCountry=Латвия DeviceCustomString5=LV DeviceCustomString5Label=Dst Country Code DeviceCustomString6= DeviceCustomString6Label=Dst session UUID DestinationUserID=-1 DestinationUserName= TransportProtocol=TCP DeviceEventClassID=1005404 Message=GeoIP Latvia DeviceEventCategory=GeoIP Страны Восточной Европы Severity=2 DeviceCustomString8=1 DeviceCustomString8Label=Alert GID DeviceCustomString9=blocked DeviceCustomString9Label=Alert action DestinationHostName= RequestUrl= RequestClientApplication= FlexNumber1=1 FlexNumber1Label=Flow packets to server FlexNumber2=0 FlexNumber2Label=Flow packets to client BytesIn=60 BytesOut=0 StartTime=2024-11-18 10:38:54.110294 EndTime=2024-11-18 10:38:54.110969 FlexNumber3=0 FlexNumber3Label=flow DeviceCustomString11= DeviceCustomString11Label=flow.state DeviceCustomString12= DeviceCustomString12Label=flow.reason FlexNumber4=0 FlexNumber4Label=flow.alerted DeviceCustomString14= DeviceCustomString14Label=tcp.tcp_flags DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc FlexNumber5=0 FlexNumber5Label=tcp.cwr FlexNumber6=0 FlexNumber6Label=tcp.ecn FlexNumber7=0 FlexNumber7Label=tcp.urg FlexNumber8=0 FlexNumber8Label=tcp.ack FlexNumber9=0 FlexNumber9Label=tcp.psh FlexNumber10=0 FlexNumber10Label=tcp.rst FlexNumber11=0 FlexNumber11Label=tcp.syn FlexNumber12=0 FlexNumber12Label=tcp.fin DeviceCustomString17= DeviceCustomString17Label=tcp.state

где:

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• DeviceCustomString1=1881087344384816 - внутренний идентификатор системы предотвращения вторжений flow (сессии);

• DeviceInboundInterface - идентификатор входящего интерфейса;

• DeviceProcessName=ideco-ips - имя экземпляра системы предотвращения вторжений;

• DeviceCustomString5=alert - тип события;

• SourceAddress=192.168.101.25 - IP-адрес источника;

• DeviceCustomString1=local DeviceCustomString1Label=Src IP Type - тип IP-адреса источника (local - локальный, external - внешний);

• SourcePort=55644 - порт источника;

• SourceCountry - название местоположения источника;

• DeviceCustomString2= DeviceCustomString2Label=Src Country Code - ISO-код страны источника;

• DeviceCustomString3=34fbd7c6-716b-4858-bb68-313729b1cad4 DeviceCustomString3Label=Src session UUID - внутренний идентификатор сессии Ideco NGFW источника;

• SourceUserID=9 - идентификатор пользователя источника;

• SourceUserName=user - имя пользователя источника;

• DestinationAddress=212.70.163.70 - IP-адрес назначения;

• DeviceCustomString4=external DeviceCustomString4Label=Dst IP Type - тип IP-адреса назначения (local - локальный, external - внешний);

• DestinationPort=443 - порт назначения;

• DestinationCountry=Латвия - название местоположения назначения;

• DeviceCustomString5=LV DeviceCustomString5Label=Dst Country Code - ISO-код страны назначения;

• DeviceCustomString6= DeviceCustomString6Label=Dst session UUID - внутренний идентификатор сессии Ideco NGFW назначения;

• DestinationUserID=-1 - идентификатор пользователя назначения;

• DestinationUserName - имя пользователя назначения;

• TransportProtocol=TCP - протокол;

• DeviceEventClassID=1005404 - ID правила системы предотвращения вторжений;

• Message=GeoIP Latvia - сообщение из сработавшего правила;

• DeviceEventCategory=GeoIP Страны Восточной Европы - описание колонки в веб-интерфейсе События безопасности; Соответствие alert.category: -> alert.signature описаны в файле;

• Severity=2 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

• DeviceCustomString8=1 DeviceCustomString8Label=Alert GID - GID угрозы;

• DeviceCustomString9=blocked DeviceCustomString9Label=Alert action - действие по отношению к угрозе (блокировать).

Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:

• DestinationHostName - идентификатор хоста;

• RequestUrl - URL, на который велось обращение;

• RequestClientApplication= - информация, идентифицирующая HTTP-клиента.

Служебные поля flow (сессии):

• FlexNumber1=1 FlexNumber1Label=Flow packets to server - количество пакетов, переданное от клиента к серверу;

• FlexNumber2=0 FlexNumber2Label=Flow packets to client - количество пакетов, переданное от сервера к клиенту;

• BytesIn=60 - количество байт, переданное от клиента к серверу;

• BytesOut=0 - количество байт, переданное от сервера к клиенту;

• StartTime=2024-11-18 10:38:54.110294 - начало;

• EndTime=2024-11-18 10:38:54.110969 - окончание;

• FlexNumber3=0 FlexNumber3Label=flow - возраст;

• DeviceCustomString11= DeviceCustomString11Label=flow.state - текущее состояние;

• DeviceCustomString12= DeviceCustomString12Label=flow.reason - запущен ли IPsec в режиме отладки;

• FlexNumber4=0 FlexNumber4Label=flow.alerted - сгенерировался ли поток alert.

Состояние флага TCP flow (сессии):

• DeviceCustomString14= DeviceCustomString14Label=tcp.tcp_flags - значение поля flags в заголовке TCP;

• DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts - timestamp флаги;

• DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc - флаг Truncated response;

• FlexNumber5=0 FlexNumber5Label=tcp.cwr - флаг TCP-пакета, информирующий отправителя, что получен пакет с установленным флагом ECE (Подробнее в RFC-3186);

• FlexNumber6=0 FlexNumber6Label=tcp.ecn - флаг TCP-пакета, информирующий получателя, что узел способен на явное уведомление о перегрузке сети;

• FlexNumber7=0 FlexNumber7Label=tcp.urg - флаг TCP-пакета, указывающий важность пакета;

• FlexNumber8=0 FlexNumber8Label=tcp.ack - флаг TCP-пакета, указывающий, что пакет получен;

• FlexNumber9=0 FlexNumber9Label=tcp.psh - флаг TCP-пакета, информирующий получателя, что все данные переданы и можно передать их приложению;

• FlexNumber10=0 FlexNumber10Label=tcp.rst - флаг TCP-пакета, указывающий, что соединение завершено в аварийном режиме;

• FlexNumber11=0 FlexNumber11Label=tcp.syn - флаг TCP-пакета, отвечающий за установку соединения;

• FlexNumber12=0 FlexNumber12Label=tcp.fin - флаг TCP-пакета, указывающий на завершение соединения в штатном порядке;

• DeviceCustomString17= DeviceCustomString17Label=tcp.state - состояния сеанса TCP.

Логирование включается в разделе Правила трафика -> Файрвол -> Логирование. Включите опцию Логировать срабатывания правил.

2025-01-27T13:28:14+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.3|0|syslog|0|deviceReceiptTime=1737966494 Severity=Warning DeviceProcessName=ideco-nflog msg=TCP src 192.168.101.25 sport 41528 dst 74.125.131.105 dport 443 table FWD rule 2 action drop

где:

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• TCP - протокол. Это поле принимает значения: UDP, TCP, ICMP, GRE, ESP и AH;

• src - IP-адрес источника;

• sport - порт источника для UDP и TCP;

• dst - IP-адрес назначения;

• dport - порт назначения для UDP и TCP;

• table - таблица правил, в которой произошло логирование;

• rule - ID правила из таблицы;

• action - действие, которое произошло.

2024-12-02T20:40:13+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.2|0|syslog|0|deviceReceiptTime=1733154013 Severity=Notice DeviceProcessName=ideco-app-stats msg=192.168.101.25:37030 -> 192.168.101.10:53 [eBay] \= DROP

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.101.25:37030 - IP-адрес и порт источника;

• 192.168.101.10:53 - IP-адрес и порт назначения;

• DROP - результат анализа трафика;

• [eBay] - название приложения, к которому применен результат. Список всех приложений.

Логирование включается в разделе Сервисы -> Прокси -> Основное. Просмотр логов доступен в веб-интерфейсе в разделе Отчеты и журналы -> Системный журнал. Название служб для фильтрации: ideco-content-filter-backend и squid.

Пример блокировки ресурса:

2024-11-18T19:56:41+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731941801 Severity=Notice DeviceProcessName=squid msg={10.128.0.5 - - [18/Nov/2024:19:56:41 +0500] "GET http://counter.yadro.ru/hit;argon? HTTP/1.1" 403 7594 "http://argon.pro/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0" TCP_MISS:ORIGINAL_DST "-","av_name": "-","av_object_infected": "-","av_object_size": "7250","av_virus_name": "-","x_infection_found": "-","x_virus_id": "-","x_av_verifed": "-","morph-action": "CheckedOK","morph-dict-id": "-"}

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 10.128.0.5 - IP-адрес пользователя;

• [18/Nov/2024:19:56:41 +0500] - дата/время события блокировки;

• GET - метод;

• http://counter.yadro.ru/hit;argon? - URL заблокированного ресурса;

• HTTP/1.1 - протокол;

• 403 - код состояния HTTP;

• 7594 - передано байт (в ответ, включая HTTP-заголовок);

• http://argon.pro/ - HTTP referer;

• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0 - цифровой отпечаток браузера;

• TCP_MISS:ORIGINAL_DST - техническое сообщение от squid;

• "av_name": "-" - название антивируса, если он включен, в примере антивирус отключен;

• "av_object_infected": "-" - результат проверки антивирусом, пустое поле - вирус не обнаружен;

• "av_object_size": "7250" - размер проверяемого объекта;

• "av_virus_name": "-" - название обнаруженного вируса;

• "x_infection_found": "-" - подтверждение, что запрос был обработан ICAP-оберткой для антивируса (Касперский);

• "morph-action": "CheckedOK" - результат проверки Морфологическим анализом;

• "morph-dict-id": "-" - название морфологического словаря, указывается в случае запрета Морфологическим анализом.

2024-07-18T17:11:40+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721304700 Severity=Notice DeviceProcessName=ideco-web-authd msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.205.254/32 - IP-адрес пользователя;

• Sanek - логин пользователя;

• type 'web' - тип авторизации (веб).

2024-07-18T17:20:22+05:00 Ideco-NGFW CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1721305222 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.205.254/32 - IP-адрес пользователя;

• Sanek - логин пользователя;

• type 'log' - тип авторизации (через журнал безопасности AD).

2024-11-18T14:54:21+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731923661 Severity=Notice DeviceProcessName=ideco-web-authd msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'web'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• user - логин пользователя;

• 192.168.101.25/32 - IP-адрес пользователя;

• type 'web' - тип авторизации (веб).

2024-11-18T18:51:43+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731937903 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'ip'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.101.25/32 - IP-адрес пользователя;

• user - логин пользователя;

• type 'ip' - тип авторизации (IP).

2024-11-18T18:54:21+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731938061 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'mac'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.101.25/32 - IP-адрес пользователя;

• user - логин пользователя;

• type 'mac' - тип авторизации (MAC).

2024-11-18T19:07:54+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731938874 Severity=Notice DeviceProcessName=ideco-auth-backend msg=Subnet 192.168.101.0/24 is authorized as user 'user'. Connection made from None, type 'net'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 192.168.101.0/24 - подсеть, по которой происходит авторизация;

• user - логин пользователя;

• type 'net' - тип авторизации (подсеть).

2024-11-18T19:16:18+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731939378 Severity=Notice DeviceProcessName=ideco-vpn-authd msg=Start vpn authorization ('user', '192.168.1.25', 'pptp').
2024-11-18T19:16:18+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731939378 Severity=Notice DeviceProcessName=ideco-vpn-authd msg=Subnet 10.128.0.6/32 is authorized as user 'user'. Connection made from '192.168.1.25', type 'pptp'.

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• 10.128.0.6/32 - сеть для VPN-подключений;

• user - логин пользователя;

• 192.168.1.25 - IP-адрес, откуда установлено подключение;

• pptp - протокол.

2024-11-18T19:26:57+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731940017 Severity=Notice DeviceProcessName=fail2ban msg=INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-18 19:26:57
2024-11-18T19:26:57+05:00 ngfw-18 CEF:0|Ideco|NGFW|18.0|0|syslog|0|deviceReceiptTime=1731940017 Severity=Warning DeviceProcessName=fail2ban msg=NOTICE [utm-vpn-authd] Ban 192.168.1.25

• deviceReceiptTime - время события в системе NGFW, может не совпадать с временем получения события по Syslog;

• Severity - важность события (Emergency, Alert, Critical, Error, Warning, Notice, Informational, Debug);

• DeviceProcessName - название службы NGFW;

• INFO или NOTICE - приоритет сообщения в логах в виде информационного сообщения или уведомления;

• INFO [utm-web-interface] Found 192.168.1.25 - 2024-11-18 19:26:57 - факт обнаружения правил безопасности с указанием группы правил ([utm-web-interface]), IP-адреса и даты/времени. Список групп правил:

  • utm-dovecot - авторизация на почтовом сервере через почтовые клиенты;

  • utm-postfix-connrate - превышение лимита подключения к почтовому серверу;

  • utm-postscreen-prgrt - отслеживание нежелательных подключений (PREGREET) к почтовому серверу;

  • utm-reverse-proxy-conn - защита от DoS (лимит подключений);

  • utm-reverse-proxy-req - защита от DoS (лимит запросов в секунду);

  • utm-reverse-proxy - Web Application Firewall (WAF);

  • utm-roundcube - авторизация в веб-интерфейсы почтового сервера;

  • utm-smtp - авторизация по smtp;

  • utm-ssh - авторизация по ssh;

  • utm-two-factor-codes - прохождение двухфакторной аутентификации;

  • utm-vpn-authd - авторизация по VPN;

  • utm-vpn-pppoe-authd - авторизация по VPN PPPoE;

  • utm-web-interface - авторизация в административном веб-интерфейсе;

  • utm-user-cabinet - авторизация в пользовательском веб-интерфейсе.

• NOTICE [utm-vpn-authd] Ban 192.168.1.25 - факт блокировки или разблокировки IP-адреса, где:

  • Ban - факт блокировки;

  • Unban - факт разблокировки.

2024-11-18T15:40:12+05:00 ngfw-18 suricata - - - flow_id:1344232018329395, in_iface:, sensor_name:ideco-ips, event_type:alert, src_ip:192.168.101.25, src_ip_type:local, src_port:40632, src_country:, src_country_code:, src_session_uuid:34fbd7c6-716b-4858-bb68-313729b1cad4, src_user_id:9, src_user_name:user, dest_ip:212.70.163.70, dest_ip_type:external, dest_port:443, dest_country:Латвия, dest_country_code:LV, dest_session_uuid:, dest_user_id:-1, dest_user_name:, proto:TCP, alert.signature_id:1005404, alert.signature:GeoIP Latvia, alert.category:GeoIP Страны Восточной Европы, alert.severity:2, alert.gid:1, alert.action:blocked, http.hostname:, http.url:, http.http_user_agent:, flow.pkts_toserver:1, flow.pkts_toclient:0, flow.bytes_toserver:60, flow.bytes_toclient:0, flow.start:2024-11-18 10:40:12.378514, flow.end:2024-11-18 10:40:12.379198, flow.age:0, flow.state:, flow.reason:, flow.alerted:0, tcp.tcp_flags:, tcp.tcp_flags_ts:, tcp.tcp_flags_tc:, tcp.cwr:0, tcp.ecn:0, tcp.urg:0, tcp.ack:0, tcp.psh:0, tcp.rst:0, tcp.syn:0, tcp.fin:0, tcp.state:

где:

• 2024-11-18T15:40:12+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• suricata - название службы;

• flow_id:1344232018329395 - внутренний идентификатор системы предотвращения вторжений flow (сессии);

• in_iface - идентификатор входящего интерфейса;

• sensor_name:ideco-ips - имя экземпляра системы предотвращения вторжений;

• event_type:alert - тип события;

• src_ip:192.168.101.25 - IP-адрес источника;

• src_port:40632 - порт источника;

• src_country - название местоположения источника;

• src_country_code - ISO-код страны источника;

• src_session_uuid:34fbd7c6-716b-4858-bb68-313729b1cad4 - внутренний идентификатор сессии Ideco NGFW источника;

• src_user_id:9 - идентификатор пользователя источника;

• src_user_name:user- имя пользователя источника;

• dest_ip:212.70.163.70 - IP-адрес назначения;

• dest_port:443 - порт назначения;

• dest_country:Латвия - название местоположения назначения;

• dest_country_code:LV - ISO-код страны назначения;

• dest_session_uuid - внутренний идентификатор сессии Ideco NGFW назначения;

• dest_user_id:-1 - идентификатор пользователя назначения;

• dest_user_name - имя пользователя назначения;

• proto:TCP - протокол;

• alert.signature_id:1005404 - идентификатор правила системы предотвращения вторжений;

• alert.signature:GeoIP Latvia - сообщение из сработавшего правила;

• alert.category:GeoIP Страны Восточной Европы - описание колонки в веб-интерфейсе События безопасности; Соответствие alert.category: -> alert.signature описаны в файле.

• alert.severity:2 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

• alert.gid:1 - GID угрозы;

• alert.action:blocked - действие по отношению к угрозе (блокировать).

Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:

• http.hostname - идентификатор хоста;

• http.url - URL, на который велось обращение;

• http.http_user_agent - информация, идентифицирующая HTTP-клиента.

Служебные поля flow (сессии):

• flow.pkts_toserver:1 - количество пакетов, переданное от клиента к серверу;

• flow.pkts_toclient:0 - количество пакетов, переданное от сервера к клиенту;

• flow.bytes_toserver:60 - количество байт, переданное от клиента к серверу;

• flow.bytes_toclient:0 - количество байт, переданное от сервера к клиенту;

• flow.start:2024-11-18 10:40:12.378514 - начало;

• flow.end:2024-11-18 10:40:12.379198 - окончание;

• flow.age:0 - возраст;

• flow.state - текущее состояние;

• flow.reason - запущена ли IPsec в режиме отладки;

• flow.alerted:0 - сгенерировался ли поток alert.

Состояние флага TCP flow(сессии):

• tcp.tcp_flags - значение поля flags в заголовке TCP;

• tcp.tcp_flags_ts - timestamp флаги;

• tcp.tcp_flags_tc - флаг Truncated response;

• tcp.cwr: 0 - флаг TCP-пакета, информирующий отправителя, что получен пакет с установленным флагом ECE (Подробнее в RFC-3186);

• tcp.ecn:0 - флаг TCP-пакета, информирующий получателя, что узел способен на явное уведомление о перегрузке сети;

• tcp.urg:0 - флаг TCP-пакета, указывающий важность пакета;

• tcp.ack:0 - флаг TCP-пакета, указывающий, что пакет получен;

• tcp.psh:0 - флаг TCP-пакета, информирующий получателя, что все данные переданы и можно передать их приложению;

• tcp.rst:0 - флаг TCP-пакета, указывающий, что соединение завершено в аварийном режиме;

• tcp.syn:0 - флаг TCP-пакета, отвечающий за установку соединения;

• tcp.fin:0 - флаг TCP-пакета, указывающий на завершение соединения в штатном порядке;

• tcp.state - состояния сеанса TCP.

Логирование включается в разделе Правила трафика -> Файрвол -> Логирование. Включите опцию Логировать срабатывания правил.

2025-01-27T13:33:19+05:00 ngfw-18 ideco-nflog - - - TCP src 192.168.101.25 sport 54186 dst 64.233.164.105 dport 443 table FWD rule 2 action drop

• 2025-01-27T13:33:19+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-nflog - название службы;

• TCP - протокол. Это поле принимает значения: UDP, TCP, ICMP, GRE, ESP и AH;

• src - IP-адрес источника;

• sport - порт источника для UDP и TCP;

• dst - IP-адрес назначения;

• dport - порт назначения для UDP и TCP;

• table - таблица правил, в которой произошло логирование;

• rule - ID правила из таблицы;

• action - действие, которое произошло.

2024-12-02T20:38:38+05:00 ngfw-18 ideco-app-stats - - - 192.168.101.25:56854 -> 192.168.101.10:53 [eBay] = DROP

• 2024-12-02T20:38:38+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-app-stats - название службы;

• 192.168.101.25:56854 - IP-адрес и порт источника;

• 192.168.101.10:53 - IP-адрес и порт назначения;

• DROP - результат анализа трафика;

• [eBay] - название приложения, к которому применен результат. Список всех приложений.

Логирование включается в разделе Сервисы -> Прокси -> Основное. Просмотр логов доступен в веб-интерфейсе в разделе Отчеты и журналы -> Системный журнал. Название служб для фильтрации: ideco-content-filter-backend и squid.

Пример блокировки ресурса:

2024-11-18T19:49:58+05:00 ngfw-18 squid - - - {10.128.0.6 - - [18/Nov/2024:19:49:58 +0500] "GET http://counter.yadro.ru/hit;argon? HTTP/1.1" 403 7594 "http://argon.pro/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0" TCP_MISS:ORIGINAL_DST "-","av_name": "-","av_object_infected": "-","av_object_size": "7250","av_virus_name": "-","x_infection_found": "-","x_virus_id": "-","x_av_verifed": "-","morph-action": "CheckedOK","morph-dict-id": "-"}

• 2024-11-18T19:49:58+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• squid - название службы;

• 10.128.0.6 - IP-адрес пользователя;

• [18/Nov/2024:19:49:58 +0500] - дата/время события блокировки;

• GET - метод;

• http://counter.yadro.ru/hit;argon? - URL заблокированного ресурса;

• HTTP/1.1 - протокол;

• 403 - код состояния HTTP;

• 7594 - передано байт (в ответ, включая HTTP-заголовок);

• http://argon.pro/ - HTTP referer;

• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0 - цифровой отпечаток браузера;

• TCP_MISS:ORIGINAL_DST - техническое сообщение от squid;

• "av_name": "-" - название антивируса, если он включен, в примере антивирус отключен;

• "av_object_infected": "-" - результат проверки антивирусом, пустое поле - вирус не обнаружен;

• "av_object_size": "7250" - размер проверяемого объекта;

• "av_virus_name": "-" - название обнаруженного вируса;

• "x_infection_found": "-" - подтверждение, что запрос был обработан ICAP-оберткой для антивируса (Касперский);

• "morph-action": "CheckedOK" - результат проверки Морфологическим анализом;

• "morph-dict-id": "-" - название морфологического словаря, указывается в случае запрета Морфологическим анализом.

2024-07-18T16:59:55+05:00 Ideco-NGFW ideco-web-authd - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'web'.

• 2024-07-18T16:59:55+05:00 - время события в Ideco NGFW;

• Ideco-NGFW - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-web-authd - название службы;

• 192.168.205.254/32 - IP-адрес пользователя;

• Sanek - логин пользователя;

• type 'web' - тип авторизации (веб).

2024-07-18T16:19:39+05:00 Ideco-NGFW ideco-auth-backend - - - Subnet 192.168.205.254/32 is authorized as user 'Sanek'. Connection made from None, type 'log'.

• 2024-07-18T16:19:39+05:00 - время события в Ideco NGFW;

• Ideco-NGFW - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-auth-backend - название службы;

• 192.168.205.254/32 - IP-адрес пользователя;

• Sanek - логин пользователя;

• type 'log' - тип авторизации (через журнал безопасности AD).

2024-11-18T14:47:11+05:00 ngfw-18 ideco-web-authd - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'web'.

• 2024-11-18T14:47:11+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-web-authd - название службы;

• 192.168.101.25/32 - IP-адрес пользователя;

• user - логин пользователя;

• type 'web' - тип авторизации (веб).

2024-11-18T18:42:45+05:00 ngfw-18 ideco-auth-backend - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'ip'.

• 2024-11-18T18:42:45+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-web-authd - название службы;

• 192.168.101.25/32 - IP-адрес пользователя;

• user - логин пользователя;

• type 'ip' - тип авторизации (IP).

2024-11-18T19:01:14+05:00 ngfw-18 ideco-auth-backend - - - Subnet 192.168.101.25/32 is authorized as user 'user'. Connection made from None, type 'mac'.

• 2024-11-18T19:01:14+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-auth-backend - название службы;

• 192.168.101.25/32 - IP-адрес пользователя;

• user - логин пользователя;

• type 'mac' - тип авторизации (MAC).

2024-11-18T19:06:08+05:00 ngfw-18 ideco-auth-backend - - - Subnet 192.168.101.0/24 is authorized as user 'user'. Connection made from None, type 'net'.

• 2024-11-18T19:06:08+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-auth-backend - название службы;

• 192.168.101.0/24 - подсеть пользователя;

• user - логин пользователя;

• type 'net' - тип авторизации (подсеть).

2024-11-18T19:17:56+05:00 ngfw-18 ideco-vpn-authd - - - Start vpn authorization ('user', '192.168.1.25', 'pptp').
2024-11-18T19:17:56+05:00 ngfw-18 ideco-vpn-authd - - - Subnet 10.128.0.5/32 is authorized as user 'user'. Connection made from '192.168.1.25', type 'pptp'.

• 2024-11-18T19:17:56+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• ideco-vpn-authd - название службы;

• 10.128.0.5/32 - сеть для VPN-подключений;

• user - логин пользователя;

• 192.168.1.25 - IP-адрес, с которого установлено подключение;

• pptp - протокол.

2024-11-18T19:21:54+05:00 ngfw-18 fail2ban - - - INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-18 19:21:54

• 2024-11-18T19:21:54+05:00 - время события в Ideco NGFW;

• ngfw-18 - hostname сервера NGFW, заданный в левом верхнем углу веб-интерфейса;

• fail2ban - название службы;

• info или notice - приоритет сообщения в логах в виде информационного сообщения или уведомления;

• INFO [utm-vpn-authd] Found 192.168.1.25 - 2024-11-18 19:21:54 - факт обнаружения правил безопасности с указанием группы правил ([utm-web-interface]), IP-адреса и даты/времени. Список групп правил:

  • utm-dovecot - авторизация на почтовом сервере через почтовые клиенты;

  • utm-postfix-connrate - превышение лимита подключения к почтовому серверу;

  • utm-postscreen-prgrt - отслеживание нежелательных подключений (PREGREET) к почтовому серверу;

  • utm-reverse-proxy-conn - защита от DoS (лимит подключений);

  • utm-reverse-proxy-req - защита от DoS (лимит запросов в секунду);

  • utm-reverse-proxy - Web Application Firewall (WAF);

  • utm-roundcube - авторизация в веб-интерфейсы почтового сервера;

  • utm-smtp - авторизация по smtp;

  • utm-ssh - авторизация по ssh;

  • utm-two-factor-codes - прохождение двухфакторной аутентификации;

  • utm-vpn-authd - авторизация по VPN;

  • utm-vpn-pppoe-authd - авторизация по VPN PPPoE;

  • utm-web-interface - авторизация в административном веб-интерфейсе;

  • utm-user-cabinet - авторизация в пользовательском веб-интерфейсе.