Журналы
Этот раздел предоставляет доступ к инструментам для работы с Журналами событий ("Живые журналы" и "Просмотр журналов") без информации о действиях, выполняемых Продуктом на источнике событий.
По умолчанию в этом разделе представлена таблица событий, обрабатываемых системой в реальном времени (живые Журналы). Справа находится кнопка для переключения режимов -
кнопка включения живых журналов 
, кнопка остановки живых журналов и переключения в режим Просмотра журналов 
.
Живые журналы
В этом режиме таблица отображает все Журналы, поступающие в систему в реальном времени, показывая следующие столбцы:
| Поле | Описание |
|---|---|
| Временная метка | Время поступления лога в систему |
| Устройство | Название устройства, генерирующего событие, из списка устройств, настроенных во вкладке "Устройства" |
| Тип | Тип события лога |
| Исходный IP | IP-адрес исходного соединения, которое привело к зарегистрированному действию |
| Целевой IP | IP-адрес целевого соединения, которое привело к зарегистрированному действию |
| Целевой порт | Целевой порт соединения, которое привело к зарегистрированному действию |
| Действие | Результат прохождения трафика через Фаервол |
Примеры
-
Отсутствие ожидаемых логов от обычно функционирующей подсистемы указывает на ее недоступность или другой инцидент.
-
Визуальный анализ столбца используемых системных портов покажет, какие сервисы в настоящее время наиболее интенсивно используются в сети.
Просмотр журналов
Этот инструмент предоставляет доступ к журналам событий, поступающих в систему. При необходимости можно применять фильтры.
Первый вариант фильтрации доступен при нажатии на значок воронки, расположенный в правой части экрана.
Второй вариант фильтрации доступен через значения столбцов в таблице логов:
| Поле | Описание |
|---|---|
| Временная метка | Время поступления лога в систему |
| Устройство | Название устройства, генерирующего событие, из списка устройств, настроенных во вкладке "Устройства" |
| Тип | Тип события лога |
| Исходный IP | IP-адрес исходного соединения, которое привело к зарегистрированному действию |
| Целевой IP | IP-адрес целевого соединения, которое привело к зарегистрированному действию |
| Целевой порт | Целевой порт соединения, которое привело к зарегистрированному действию |
| Действие | Результат прохождения трафика через Фаервол |
Каждая строка события имеет интерактивные части. Например:
- Левая часть строки выделена для кнопки расширения строки лога; нажатие на эту часть открывает детальный просмотр события, разделенный на две части. В верхней части отображаются отсортированные поля события для удобного восприятия, а в нижней части показывается оригинальный текст лога для возможной последующей обработки.
- Справа от исходных и целевых IP-адресов находится выпадающее меню. Возможные действия:
- Фильтровать все события по выбранному IP-адресу как источнику
- Фильтровать все события по выбранному IP-адресу как назначению
- Запустить отчет о действиях для выбранного IP-адреса
- Выполнить преднастроенное действие из списка на вкладке "действия" для выбранного IP-адреса
- Добавить IP-адрес в разрешенный список
- Показать назначенное значение штрафа для выбранного IP-адреса. Штрафы устанавливаются преднастроенным действием в соответствующих настройках на вкладке "Действия".
- NS Lookup показывает наличие зарегистрированных доменных имен для этого IP-адреса
- Просмотреть отчет по выбранному IP-адресу на сервисах Virustotal, AbuseIPDB, Whois и IP Lookup
| Действие | Описание |
|---|---|
| Журналы по IP как источник | Просмотр логов, где IP-адрес указан как источник. |
| Журналы по IP как назначение | Просмотр логов, где IP-адрес указан как назначение. |
| Отчет о действиях для IP | Создание отчета о действиях, связанных с указанным IP-адресом. |
| Выполнить действие для IP | Выполнение указанного действия для данного IP-адреса. |
| Добавить в разрешенный список | Добавление IP-адреса в разрешенный список. |
| Показать штраф | Отображение штрафов, примененных к указанному IP-адресу. |
| NS Lookup | Выполнение NS Lookup для получения информации о домене. |
| Показать на VirusTotal | Показать информацию об IP-адресе на VirusTotal. |
| Показать на AbuseIPDB | Показать информацию об IP-адресе на AbuseIPDB. |
| Whois | Выполнение запроса Whois для получения информации о владельце IP-адреса. |
| Поиск IP | Выполнение общего поиска для получения информации об IP-адресе. |
Примеры
Если есть подозрение, что пользователь не может получить доступ к сервису из-за отказа в доступе, можно провести простое расследование, указав IP-адрес пользователя и просмотрев результаты системных ответов на его запросы. Если какие-либо из них отклонены, это будет отражено в событиях.
Экспорт файла CSV с записями логов
Вы можете сгенерировать CSV-файл, используя следующую кнопку:
Каждый раз при нажатии на кнопку будет создаваться CSV-файл, содержащий детали логов за период времени, указанный в разделе ФИЛЬТР.
Все логи, соответствующие выбранному фильтру, будут включены в CSV-файл. Каждая запись лога будет отображаться в отдельной строке.
Значения в каждой строке будут разделены точкой с запятой (;).
Поля логов, включённые в CSV-файл:
- Timestamp
- Device Name
- Device IP
- Source IP
- Source Port
- Source Country
- Destination IP
- Destination Port
- Destination Country
- Action
- Policy ID
- Session ID
- Protocol
- Service
- Log Type
- Subtype
- Threat Score
- Threat Level
- Duration
- Sent Bytes
- Received Bytes
- Application Category
- Message
Настройка ротация логов
Страница настройки ротации логов позволяет пользователям управлять хранением и сроком хранения логов, собираемых системой.
Ротация логов предотвращает накопление чрезмерного количества лог-файлов, что может повлиять на производительность и доступность хранилища.
Функция ротации логов находится во вкладке "Настройки", и доступ к ней имеют только пользователи с ролью "Администратор" или выше.
Настройка полей ротации логов
| Поле | Описание |
|---|---|
| Переключатель статуса | Включает или отключает ротацию логов. Зелёный цвет означает, что ротация включена, красный — что она отключена. |
| Порог использования диска (%) | Определяет процент использования диска, при котором начинается ротация логов. |
| Порог времени (дней) | Указывает, насколько старыми должны быть логи перед удалением (если установлено значение 0, ротация происходит только по использованию диска). |
| Включить S3 бэкап | Если включено, логи сохраняются в резерв перед ротацией |
| S3 Endpoint | URL хранилища, совместимого с S3 |
| S3 Регион | Указывает регион хранилища S3 |
| S3 ID ключа доступа | Ключ аутентификации для доступа к S3 |
| S3 серкетный ключ доступа | Секретный ключ для аутентификации в S3 |
Кнопка Сохранить, расположенная в правом нижнем углу, применяет все настроенные параметры.
S3 и его роль в ротации логов
S3 (Simple Storage Service) — это облачное решение для объектного хранения данных, которое позволяет безопасно и эффективно хранить и извлекать большие объемы данных. Часто используется для резервного копирования, архивирования и восстановления после сбоев. На странице Настройка ротация логов в TiSoarNG хранилище S3 играет важную роль, гарантируя сохранность логов перед их ротацией или удалением. Однако включение этой функции остаётся на ваше усмотрение.