[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]

==== Логирование СОВ ====

<WRAP indent>
Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «**Записи в журнале**» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображается последние 50 событий, которые были зафиксированы, интервал обновления составляет 10 секунд.
</WRAP>

==== Основные настройки журнала событий ====

<WRAP indent>
Параметр "**Интервал обновления**" позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд.

Параметр "**Количество строк**" позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50.

Параметр "**Сохранить журнал**" позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру "**Количество строк**". При нажатии на кнопку "**Сохранить**", в браузере будет сохранен файл "**ids-log.txt**" с указанным количество строк журнала событий.

</WRAP>

==== Фильтрация событий в журнале событий ====

<WRAP indent>
Журнал событий поддерживает возможность выводить данные журнала событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:

^ Параметр      ^ Описание         ^ 
| Дата с            | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события.    | 
| Дата до           | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. |
| Номер             | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр.     |
| Политика          | В данном поле необходимо задать одну из доступных политик.     |
| Классификация     | В данном поле необходимо задать один из доступных классов.     |
| Приоритет         | В данном поле необходимо задать один из доступных приоритетов.     |
| Протокол          | В данном поле необходимо задать один из доступных протоколов.     |
| IP источника       | В данном поле необходимо задать сетевой адрес источника.     |
| Порт источника    | В данном поле необходимо задать сетевой порт источника.     |
| IP назначения     | В данном поле необходимо задать сетевой адрес назначения.     |
| Порт назначения   | В данном поле необходимо задать сетевой порт назначения.     |
| Pcap              | В данном поле необходимо задать номер pcap файла.     |

</WRAP>

==== Гибкая настройка фильтра при поиске данных ====

<WRAP indent>
При работе с фильтрами можно использовать дополнительные возможности поиска. Рассмотрим несколько вариантов:

  - Задаем точное значение. В этом случае поиск осуществляется по всем полю вне зависимости от позиции значения, которое мы ищем.
  - Задаем значение и далее указываем символ <wrap hi>*</wrap>. В этом случае поиск искомого значения осуществляется в начале поля.
  - Задаем символ <wrap hi>*</wrap> и далее указываем значение. В этом случае поиск искомого значения осуществляется в конце поля.

Рассмотрим несколько примеров.

**Свободный поиск в поле номер сигнатуры.** Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле номер сигнатуры встречается значение "**10**".
{{ :tssltd:ids_filter_ex_1.png |}} 


**Поиск по первому октету в поле ip адрес источника.** Для примера осуществим поиск значения 45. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение "**45.***".
{{ :tssltd:ids_filter_ex_2.png |}}


**Поиск последней цифре в поле порт источника.** Для примера осуществим поиск значения 9. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по последнему числу номера порта источника. Для этого необходимо ввести значение "***9**".
{{ :tssltd:ids_filter_ex_3.png |}}

</WRAP> 

==== Сохранение pcap ====

<WRAP indent>
Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файла. Если для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафика, то в этом случае будет сохранен один pcap файл. 
</WRAP> 

[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]