This is an old revision of the document!
Table of Contents
Логирование СОВ
Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «Записи в журнале» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображется последние 50 событий, которые были зафиксированы, интерфвал обновления составляет 10 секунд.
Основные настройки журнала событий
Параметр “Интервал обновления” позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд.
Параметр “Количество строк” позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50.
Параметр “Сохранить журнал” позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру “Количество строк”. При нажатии на кнопку “Сохранить”, в браузере будет сохранен файл “ids-log.txt” с указанным количество строк журнала событий.
Фильтрация событий в журнале событий
Журнал событий поддерживает возможность выводить данные журанла событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:
| Параметр | Описание |
|---|---|
| Дата с | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события. |
| Дата до | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. |
| Номер | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр. |
| Политика | В данном поле необходимо задать одну из доступных политик. |
| Классификация | В данном поле необходимо задать один из доступных классов. |
| Приоритет | В данном поле необходимо задать один из доступных приоритетов. |
| Протокол | В данном поле необходимо задать один из доступных протоколов. |
| IP истоника | В данном поле неоходимо задать сетевой адрес источника. |
| Порт источника | В данном поле неоходимо задать сетевой порт источника. |
| IP назначения | В данном поле неоходимо задать сетевой адрес назначения. |
| Порт назначения | В данном поле неоходимо задать сетевой порт назначения. |
| Pcap | В данном поле неоходимо задать номер pcap файла. |
Гибка настройка фильтра при поиски данных
При работе с фильтрами можно использовать дополнительные возможности поиска. Рассмотрим несколько вариантов:
- Задаем точное значение. В этом случае поиск осуществляется по всем полю вне зависимости от позиции значения, которое мы ищем.
- Задаем значение и далее указываем символ *. В этом случае поиск искомого значения осуществляется в начале поля.
- Задаем символ * и далее указываем значение. В этом случае поиск искомого значения осуществляется в конце поля.
Рассмотрим несколько примеров.
Свободный поиск в поле номер сигнатуры. Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразил все возможные варианты, где встречается значение 10.
Сохранение pcap
Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файла. Если для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафика, то в этом случае будет сохранен один pcap файл.