v16

Syslog

Включение этого модуля дает возможность передавать все системные сообщения (syslog) Ideco NGFW в сторонние коллекторы (Syslog Collector) или в SIEM-системы.

Название службы раздела Syslog: ideco-monitor-backend. Список служб для других разделов доступен по ссылке.

Пересылка системных сообщений

В качестве коллектора можно указывать любой локальный "серый" или публичный "белый" IP-адрес.

В поле Порт укажите любой порт из диапазона от 1 до 65535.

Передача системных сообщений происходит согласно RFC-5424 (транспорт UDP).

Расшифровка передаваемых логов

Предотвращение вторжений
192.168.100.2	Dec 14 15:48:38		daemon	warning		timestamp:2022-12-14 10:48:34.808465+00:00,flow_id:1189034483406353,in_iface:seq:Leth1:3:m,sensor_name:suricata_debug,event_type:alert,src_ip:192.168.100.11,src_port:61790,src_country:,src_country_code:,src_session_uuid:7100d1c8-017f-4cbf-8b78-482839300211,src_user_id:2,src_user_name:a.istomina,dest_ip:192.168.100.2,dest_port:53,dest_country:,dest_country_code:,dest_session_uuid:,dest_user_id:-1,dest_user_name:,proto:UDP,alert.signature_id:1003892,alert.signature:Windows Telemetry,alert.category:Telemetry Windows,alert.severity:3,alert.gid:1,alert.action:blocked,http.hostname:,http.url:,http.http_user_agent:,flow.pkts_toserver:1,flow.pkts_toclient:0,flow.bytes_toserver:73,flow.bytes_toclient:0,flow.start:2022-12-14 10:48:34.808465+00:00,flow.end:2022-12-14 10:48:35.580143+00:00,flow.age:0,flow.state:,flow.reason:,flow.alerted:0,tcp.tcp_flags:,tcp.tcp_flags_ts:,tcp.tcp_flags_tc:,tcp.cwr:0,tcp.ecn:0,tcp.urg:0,tcp.ack:0,tcp.psh:0,tcp.rst:0,tcp.syn:0,tcp.fin:0,tcp.state:

где:

  • 192.168.100.2 - ip-адрес NGFW отправителя;

  • Dec 14 15:48:38 - время получения события по Syslog;

  • timestamp: 2022-12-14 10:48:34.808465+00:00 - время события в системе предотвращения вторжений, может не совпадать с временем получения события по Syslog;

  • flow_id: 1189034483406353 - внутренний идентификатор системы предотвращения вторжений flow (сессии);

  • in_iface: seq:Leth1:3:m - содержит идентификатор входящего интерфейса;

  • sensor_name: suricata_debug - имя экземпляра системы предотвращения вторжений;

  • event_type: alert - тип события;

  • src_ip: 192.168.100.11 - IP-адрес источника;

  • src_port: 61790 - порт источника;

  • src_country: - название местоположения источника;

  • src_country_code: - ISO-код страны источника;

  • src_session_uuid: 7100d1c8-017f-4cbf-8b78-482839300211 - внутренний идентификатор сессии Ideco NGFW источника;

  • src_user_id: 2 - идентификатор пользователя источника;

  • src_user_name: a.istomina- имя пользователя источника;

  • dest_ip: 192.168.100.2 - IP-адрес назначения;

  • dest_port: 53 - порт назначения;

  • dest_country: - название местоположения назначения;

  • dest_country_code: - ISO-код страны назначения;

  • dest_session_uuid: - внутренний идентификатор сессии Ideco NGFW назначения;

  • dest_user_id: -1 - идентификатор пользователя назначения;

  • dest_user_name: - имя пользователя назначения;

  • proto: UDP - протокол;

  • alert.signature_id: 1003892 - ID правила системы предотвращения вторжений;

  • alert.signature: Windows Telemetry - сообщение из сработавшего правила;

  • alert.category: Telemetry Windows - описание колонки в веб-интерфейсе События безопасности; Соответствие alert.category: -> alert.signature описаны в файле.

  • alert.severity: 3 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

Служебные поля результата анализа HTTP-трафика. Заполняются, если в процессе анализа трафика был определен HTTP-протокол:

  • http.hostname: - идентификатор хоста;

  • http.url: - url, на который велось обращение;

  • http.http_user_agent: - информация, идентифицирующая HTTP-клиента.

Служебные поля flow (сессии):

  • flow.pkts_toserver :1 - количество пакетов, переданное от клиента к серверу;

  • flow.pkts_toclient: 0 - количество пакетов, переданное от сервера к клиенту;

  • flow.bytes_toserver: 73 - количество байт, переданное от клиента к серверу;

  • flow.bytes_toclient: 0 - количество байт, переданное от сервера к клиенту;

  • flow.start: 2022-12-14 10:48:34.808465+00:00 - начало;

  • flow.end: 2022-12-14 10:48:35.580143+00:00 - окончание;

  • flow.age: 0 - возраст;

  • flow.state: - текущее состояние;

  • flow.reason: - запущена ли IPsec в режиме отладки;

  • flow.alerted: 0 - сгенерировался ли поток alert;

Состояние флага TCP flow(сессии):

Файрвол
ноя 24 09:36:27 localhost ideco-nflog[691]: UDP      src 192.168.100.12   sport 137   dst 40.125.122.151   dport 137   table FWD  rule  1    action accept

  • UDP - протокол, принимает значения UDP, TCP, ICMP, GRE, ESP и AH;

  • src - IP-адрес источника;

  • dst - IP-адрес назначения;

  • sport - порт источника для UDP и TCP;

  • dport - порт назначения для UDP и TCP;

  • table - таблица правил, в которой произошло логирование;

  • rule - ID правила из таблицы rule;

  • action - действие, которое произошло.

Контроль приложений
192.168.100.2	Jan 12 11:00:15	1	user	err		2023-01-12T11:00:14+05:00 localhost app-control 2027 - - (flow_info_rules_was_checked) 192.168.100.11:52514 -> 192.168.100.2:53 [Amazon] = 'DROP'.

  • 2027 - идентификатор процесса;

  • 192.168.100.11:52514 - ip-адрес источника;

  • 192.168.100.2:53 [Amazon] = 'DROP' - результат анализа трафика, где [Amazon] название приложения, к которому был применен результат. Список всех приложений.

Контент-фильтр

Просмотр логов доступен в веб-интерфейсе в разделе Мониторинг -> Журналы. Название служб для фильтрации: ideco-content-filter-backend и squid ().

Пример блокировки ресурса:

192.168.101.130    Mar 31 14:56:57    1    daemon    info        2023-03-31T14:56:56+05:00 localhost squid 5950 - - 192.168.101.131 - - [31/Mar/2023:14:56:56 +0500] "GET https://www.igromania.ru/? HTTP/1.1" 403 7455 "https://yandex.ru/" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0" TCP_DENIED:HIER_NONE "Custom deny 8 Игры extended.id.21 group.id.1 "

  • 5950 - идентификатор процесса;

  • 192.168.101.131 - IP-адрес пользователя;

  • [31/Mar/2023:14:56:56 +0500] "GET https://www.igromania.ru/? HTTP/1.1:

    • [31/Mar/2023:14:56:56 +0500] - дата/время события блокировки;

    • GET - метод;

    • https://www.igromania.ru/? - URL заблокированного ресурса;

    • HTTP/1.1 - протокол;

  • 403 - код состояния HTTP;

  • 7455 - передано байт (в ответ, включая HTTP заголовок);

  • https://yandex.ru/ - HTTP referer;

  • Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0 - цифровой отпечаток браузера;

  • TCP_DENIED:HIER_NONE - техническое сообщение от squid;

  • Custom deny 8 Игры extended.id.21 group.id.1:

    • Custom deny 8 Игры - описание и номер правила блокировки;

    • extended.id.21 - категория сайта;

    • group.id.1 - значение поля Применяется для в сработавшем правиле.

Аутентификация через веб-интерфейс
192.168.100.2	Jan 12 11:02:15	1	daemon	info		2023-01-12T11:02:14+05:00 localhost fail2ban.filter 779 - - INFO [utm-web-interface] Found 192.168.100.1 - 2023-01-12 11:02:14 
192.168.100.2	Jan 12 11:02:36	1	daemon	notice		2023-01-12T11:02:35+05:00 localhost fail2ban.actions 779 - - NOTICE [utm-web-interface] Ban 192.168.100.1

  • info или notice - приоритет сообщения в логах в виде информационного сообщения или уведомления;

  • 779 - идентификатор процесса;

  • INFO [utm-web-interface] Found 192.168.100.1 - 2023-01-12 11:02:14 - факт обнаружения правил безопасности с указанием группы правил ([utm-web-interface]), ip-адреса и даты/времени. Список групп правил:

    • utm-dovecot;

    • utm-postfix-connrate.conf;

    • utm-postscreen-prgrt.conf;

    • utm-reverse-proxy.conf;

    • utm-roundcube.conf;

    • utm-smtp.conf;

    • utm-ssh.conf;

    • utm-two-factor-codes.conf;

    • utm-vpn-authd.conf;

    • utm-vpn-pppoe-authd.conf;

    • utm-web-interface.conf;

    • utm-wireguard-backend.conf.

  • NOTICE [utm-web-interface] Ban 192.168.100.1 - факт блокировки или разблокировки ip-адреса, где:

    • Ban - факт блокировки;

    • Unban - факт разблокировки.

Подключение по VPN
192.168.100.2	Jan 12 11:10:06	1	local0	info		2023-01-12T11:10:05+05:00 localhost ideco-vpn-authd 1356 - - Start vpn authorization ('user_1', '192.168.100.11', 'pptp'). 
192.168.100.2	Jan 12 11:10:06	1	local0	info		2023-01-12T11:10:05+05:00 localhost ideco-vpn-authd 1356 - - Subnet 10.128.187.17/32 is authorized as user 'user_1'. Connection made from '192.168.100.11', type 'pptp'.

  • 1356 - идентификатор процесса;

  • Start vpn authorization('user_1', '192.168.100.11', 'pptp') - факт запроса на авторизацию с информацией о запрашиваемом подключении, где:

    • user_1 - логин пользователя;

    • 192.168.100.11 - ip-адрес, откуда установлено подключение;

    • pptp - протокол.

  • Subnet 10.128.187.17/32 - факт успешной авторизации с локальным ip-адресом.

PreviousКонструктор отчетовNextУправление сервером

Last updated