This is an old revision of the document!
Table of Contents
Логирование СОВ
Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «Записи в журнале» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображется последние 50 событий, которые были зафиксированы, интерфвал обновления составляет 10 секунд.
Основные настройки журнала событий
Параметр “Интервал обновления” позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд.
Параметр “Количество строк” позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50.
Параметр “Сохранить журнал” позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру “Количество строк”. При нажатии на кнопку “Сохранить”, в браузере будет сохранен файл “ids-log.txt” с указанным количество строк журнала событий.
Фильтрация событий в журнале событий
Журнал событий поддерживает возможность выводить данные журанла событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:
| Параметр | Описание |
|---|---|
| Дата с | Ряд 1 Колонка 2 |
| Дата до | Объединение колонок |
| Номер | Ряд 3 Колонка 2 |
| Номер | Ряд 3 Колонка 2 |
| Номер | Ряд 3 Колонка 2 |
| Номер | Ряд 3 Колонка 2 |
| Номер | Ряд 3 Колонка 2 |
Сохранение pcap
В поле «Дата и время» необходимо задать дату и время для просмотра событий в журнале. Если дата и время не заданы, то для просмотра будет доступен весь журнал событий. В поле «Название интерфейса» необходимо задать сетевой интерфейс. В поле «Политика» необходимо задать политику системы обнаружения вторжений. В поле «Классификация» необходимо задать классификацию системы обнаружения вторжений. В поле «Версия протокола» необходимо задать версию протокола. В поле «Протокол» необходимо выбрать протокол TCP или UDP.
</WRAP>
По умолчанию в журнале событий отображается 10 последних записей. Для задания большего количества записей необходимо выбрать количество и нажать на кнопку «Показать». Для выгрузки журнала событий в файл необходимо нажать на кнопку «Сохранить в файл» и задать путь для сохранения файла с журналом событий. Система обнаружения вторжений позволяет сохранять pcap файл с сетевой атакой, которая быта обнаружена системой. Для сохранения pcap файла с сетевой атакой необходимо выделить сетевую атаку и нажать на кнопку «Сохранить Pcap файл».