| Next revision | Previous revision |
| tssltd:журнал_мсэ [2025/01/13 13:08] – created r.krestianinov | tssltd:журнал_мсэ [2025/01/13 13:32] (current) – r.krestianinov |
|---|
| |
| <WRAP indent> | <WRAP indent> |
| Для просмотра журнала межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана». В таблице «**Записи в журнале**» представлены события межсетевого экрана. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображается последние 50 событий, которые были зафиксированы, интервал обновления составляет 10 секунд. | Для просмотра журнала межсетевого экрана необходимо в главном меню выбрать пункт **«Журнал событий – Журнал межсетевого экрана»**. В таблице «**Записи в журнале**» представлены события межсетевого экрана. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображается последние 50 событий, которые были зафиксированы, интервал обновления составляет 10 секунд. |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| Параметр "**Интервал обновления**" позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд. | Параметр «**Интервал обновления**» позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд. |
| |
| Параметр "**Количество строк**" позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50. | Параметр «**Количество строк**» позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50. |
| |
| Параметр "**Сохранить журнал**" позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру "**Количество строк**". При нажатии на кнопку "**Сохранить**", в браузере будет сохранен файл "**fw-log.txt**" с указанным количество строк журнала событий. | Параметр «**Сохранить журнал**» позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру "**Количество строк**". При нажатии на кнопку "**Сохранить**», в браузере будет сохранен файл «**fw-log.txt**» с указанным количество строк журнала событий. |
| |
| </WRAP> | </WRAP> |
| |
| <WRAP indent> | <WRAP indent> |
| Журнал событий поддерживает возможность выводить данные журанла событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице: | Журнал событий поддерживает возможность выводить данные журнала событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице: |
| |
| ^ Параметр ^ Описание ^ | ^ Параметр ^ Описание ^ |
| | Дата с | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события. | | | Дата с | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события. | |
| | Дата до | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. | | | Дата до | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. | |
| | Номер | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр. | | | Название интерфейса | В данном поле необходимо задать имя интерфейса, на котором сработало правило.| |
| | Политика | В данном поле необходимо задать одну из доступных политик. | | | Направление | В данном поле необходимо направление трафика: "in" или "out". | |
| | Классификация | В данном поле необходимо задать один из доступных классов. | | |
| | Приоритет | В данном поле необходимо задать один из доступных приоритетов. | | |
| | Протокол | В данном поле необходимо задать один из доступных протоколов. | | | Протокол | В данном поле необходимо задать один из доступных протоколов. | |
| | IP истоника | В данном поле неоходимо задать сетевой адрес источника. | | | Действие | В данном поле необходимо задать действие: permit, deny, permit+reflect. | |
| | Порт источника | В данном поле неоходимо задать сетевой порт источника. | | | Адрес источника | В данном поле необходимо задать адрес источника. | |
| | IP назначения | В данном поле неоходимо задать сетевой адрес назначения. | | | Адрес назначения | В данном поле необходимо задать адрес назначения. | |
| | Порт назначения | В данном поле неоходимо задать сетевой порт назначения. | | | Сообщение | В данном поле необходимо задать дополнительную информацию. | |
| | Pcap | В данном поле неоходимо задать номер pcap файла. | | |
| |
| </WRAP> | </WRAP> |
| |
| ==== Гибка настройка фильтра при поиски данных ==== | ==== Гибкая настройка фильтра при поиске данных ==== |
| |
| <WRAP indent> | <WRAP indent> |
| Рассмотрим несколько примеров. | Рассмотрим несколько примеров. |
| |
| **Свободный поиск в поле номер сигнатуры.** Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле номер сигнатуры встречается значение "**10**". | **Свободный поиск в поле сообщение.** Для примера осуществим поиск значения 105. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле сообщение встречается значение "**105**". |
| {{ :tssltd:ids_filter_ex_1.png |}} | {{ :tssltd:fw_filter_ex_1.png |}} |
| |
| |
| **Поиск по первому октету в поле ip адрес источника.** Для примера осуществим поиск значения 45. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение "**45.***". | **Поиск по первому октету в поле ip адрес источника.** Для примера осуществим поиск значения 194. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение "**194.***". |
| {{ :tssltd:ids_filter_ex_2.png |}} | {{ :tssltd:fw_filter_ex_2.png |}} |
| |
| |
| **Поиск последней цифре в поле порт источника.** Для примера осуществим поиск значения 9. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по последнему числу номера порта источника. Для этого необходимо ввести значение "***9**". | **Поиск последней цифре в поле адреса назначения.** Для примера осуществим поиск значения 9. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по последнему числу номера порта источника. Для этого необходимо ввести значение "***9**". |
| {{ :tssltd:ids_filter_ex_3.png |}} | {{ :tssltd:fw_filter_ex_3.png |}} |
| |
| </WRAP> | |
| |
| ==== Сохранение pcap ==== | |
| |
| <WRAP indent> | |
| Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файла. Если для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафика, то в этом случае будет сохранен один pcap файл. | |
| </WRAP> | </WRAP> |
| |
| [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
