This is an old revision of the document!
Table of Contents
Логирование СОВ
Для просмотра журнала системы обнаружения и предотвращения вторжений необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «Записи в журнале» представлены события системы обнаружения и предотвращения вторжений. Дополнительные настройки и фильтры позволяют оптимизировать представление данных. По умолчанию в журнале событий отображется последние 50 событий, которые были зафиксированы, интерфвал обновления составляет 10 секунд.
Основные настройки журнала событий
Параметр “Интервал обновления” позволяет настроить интервал обновления для журнала событий. Доступные варианты 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию 10 секунд.
Параметр “Количество строк” позволяет задать количество строк для журнала событий, которые будут отображаться в интерфейсе. Доступные варианты 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию 50.
Параметр “Сохранить журнал” позволяет сохранить в текстовом формате журнала событий. Количество строк, которые будет сохранено в файле, будет соответствовать параметру “Количество строк”. При нажатии на кнопку “Сохранить”, в браузере будет сохранен файл “ids-log.txt” с указанным количество строк журнала событий.
Фильтрация событий в журнале событий
Журнал событий поддерживает возможность выводить данные журанла событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:
| Параметр | Описание |
|---|---|
| Дата с | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события. |
| Дата до | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. |
| Номер | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр. |
| Политика | В данном поле необходимо задать одну из доступных политик. |
| Классификация | В данном поле необходимо задать один из доступных классов. |
| Приоритет | В данном поле необходимо задать один из доступных приоритетов. |
| Протокол | В данном поле необходимо задать один из доступных протоколов. |
| IP истоника | В данном поле неоходимо задать сетевой адрес источника. |
| Порт источника | В данном поле неоходимо задать сетевой порт источника. |
| IP назначения | В данном поле неоходимо задать сетевой адрес назначения. |
| Порт назначения | В данном поле неоходимо задать сетевой порт назначения. |
| Pcap | В данном поле неоходимо задать номер pcap файла. |
Гибка настройка фильтра при поиски данных
При работе с фильтрами можно использовать дополнительные возможности поиска. Рассмотрим несколько вариантов:
- Задаем точное значение. В этом случае поиск осуществляется по всем полю вне зависимости от позиции значения, которое мы ищем.
- Задаем значение и далее указываем символ *. В этом случае поиск искомого значения осуществляется в начале поля.
- Задаем символ * и далее указываем значение. В этом случае поиск искомого значения осуществляется в конце поля.
Рассмотрим несколько примеров.
Свободный поиск в поле номер сигнатуры. Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле номер сигнатуры встречается значение 10.
Поиск по первому октету в поле ip адрес источника. Для примера осуществим поиск значения 45. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение “45.*”.
Сохранение pcap
Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файла. Если для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафика, то в этом случае будет сохранен один pcap файл.