|
ФПСУ-TLS поддерживает возможность отправки сообщений о происходящих на нём событиях (логов) по протоколу Syslog. Для этого требуется в конфигурации настроить подсистему, которая отслеживает происходящие на ФПСУ-TLS события и отправляет их по протоколу Syslog на указанный сервер.
Для перехода к окну настроек параметров Syslog, выполните команду «SYSLOG» меню установки параметров ФПСУ-TLS:
Для активации подсистемы Syslog, в открывшемся окне укажите следующие параметры:
Использовать Syslog – флаг, включающий/выключающий работу с указанным в поле «Адрес» Syslog сервером. При выключенном флаге обработка и отправка сообщений Syslog серверу не происходит. Включение или выключение осуществляется клавишей <Пробел>;
Адрес – IP-адрес Syslog сервера, на который следует передавать сообщения о происходящих на ФПСУ-TLS событиях;
Дислокация сервера – флаг «Внешний интерфейс» указывает, со стороны какого интерфейса находится Syslog сервер – внешнего или внутреннего. Если флаг выключен (по умолчанию), то со стороны внутреннего. Если включен – со стороны внешнего сетевого интерфейса.
Интервал keepalive – интервал отправки Syslog серверу специального сообщения keepalive о текущем состоянии ФПСУ-TLS (в минутах).
Сообщение keepalive показывает:
•загрузку процессора, например: CPU: 49.8% usr 0.6% sys 0.0% nic 48.9% idle 0.0% io 0.1% irq 0.3% sirq.
Эти цифры позволяют определить количество процессорного времени, использованного на выполнение различных видов работ:
ousr – время, затраченное на выполнение процессов в пользовательском режиме; onic – время, затраченное на выполнение процессов в привилегированном пользовательском режиме. Привилегированные процессы выполняются с приоритетом, отличным от приоритета по умолчанию; osys – время, затраченное на выполнение в режиме ядра; oidle – время выполнения процесса ожидания; oio – время ожидания завершения ввода-вывода; oirq – время обработки прерываний; osirq – время обработки прерываний softIRQs; •количество сессий с момента последнего обнуления счетчика пакетов и данных; •(в скобках) количество установленных сессий; •количество переданных данных в открытую сеть; •количество переданных данных в защищаемую сеть. |
Кодировка данных – выбор кодировки, в которой будет отправлено текстовое сообщение от ФПСУ-TLS к Syslog серверу.
Порт UDP – выбор номера UDP-порта Syslog сервера (по умолчанию 514).
В левой части окна расположен список событий, при наступлении которых следует выдать сообщение Syslog серверу.
Знак «+» около события означает, что оповещение о данном событии будет отправлено серверу Syslog. Включение или выключение отсылки оповещения о событии осуществляется клавишей <Пробел>.
По каждому из отслеживаемых событий ФПСУ-TLS отправляет текстовое Syslog-сообщение, состоящее из нескольких информационных полей.
Формат сообщения имеет вид:
fpsu-tls <серийный номер ФПСУ-TLS>: <код события> <причина>
Серверу Syslog могут быть отправлены оповещения о событиях, указанных в нижеследующей таблице:
Таблица. Оповещения о событиях
Приоритет
|
Код события
|
Причина
|
4
|
100101
|
Подпись CRL недействительна
|
4
|
100102
|
Ошибка CRL: неправильное значение поля nextUpdate
|
4
|
100103
|
Истек срок действия CRL (nextUpdate), необходимо обновить
|
4
|
100104
|
Истекает время действия сертификата. Это сообщение начинает выдаваться за месяц до окончания срока действия сертификата ФПСУ.
|
4
|
100110
|
Удаленная установка сертификата СА. Это сообщение содержит результаты удаленной установки сертификатов. Формат сообщения: 1001100 <серийный номер сертификата>: <результат>.
<Результат> может быть одно из:
1)принят, 2)такой сертификат уже есть, 3)ошибка формата, 4)не найден издатель, 5)корневой не разрешен. |
|
4
|
100111
|
Удаленная установка CRL
|
1
|
100200
|
Сбой подсистемы ARP
|
4
|
100301
|
Установка даты и времени
|
4
|
100302
|
Изменение параметров конфигурации (сетевые, масштабирования, защиты)
|
4
|
100303
|
Установлен сертификат <серийный номер, имя>
|
4
|
100304
|
Удален сертификат <серийный номер, имя>
|
4
|
100305
|
Создан запрос сертификата
|
4
|
100306
|
Установлен собственный сертификат
|
5
|
200001
|
ФПСУ-партнер недоступен
|
4
|
200005
|
Сообщение keepalive
|
5
|
200103
|
ФПСУ-TLS запущен в рабочий режим
|
5
|
200104
|
Выход из рабочего режима
|
4
|
200105
|
Соединение отклонено: слишком много TLS-клиентов. В этом случае ФПСУ-TLS отвергает новые запросы на соединения.
|
4
|
200106
|
Соединение отклонено: не хватает ресурсов. В этом случае ФПСУ-TLS отвергает новые запросы на соединения.
|
4
|
200110
|
Состояние программного сторожевого таймера. Может быть в состоянии включен и сработал.
|
6
|
300101
|
Принято соединение от клиента.
Формат: <система> принято соединение от <IP-адрес>:<порт>
|
6
|
300102
|
SSL соединен: используется предыдущая сессия/ /реализована новая сессия
|
5
|
300104
|
Соединен с обслуживаемым сервером по запросу TLS-клиента.
Формат: Соединен <IP-адрес сервера>:<порт>
|
3
|
300105
|
Произошла ошибка при подключении клиента к обслуживаемому серверу.
Формат: Ошибка подключения <имя и IP-адрес защищаемого http-сервера> к <IP-адрес TLS-клиента>
|
5
|
300106
|
Сообщение о закрытии сессии клиента.
Формат: Соединение сброшено/закрыто: <x> байт передано во внешнюю сеть, <y> байт передано во внутреннюю сеть Клиент: <IP>:<port> Сертификат: [серийный номер] <поле subject из сертификата>
|
3
|
300107
|
Соединение сброшено клиентом.
Формат: соединение <система> от <IP-адрес> сброшено клиентом
|
4
|
300108
|
Ошибка верификации сертификата клиента
Формат: Ошибка верификации: уровень=n, ошибка= <текст ошибки>
|
4
|
300109
|
Сертификат отозван издателем
Формат: Сертификат с серийным номером <номер> отозван издателем <имя>
|
4
|
300110
|
Ошибка сокета
|
4
|
300111
|
Ошибка соединения с сервером
Формат: Ошибка соединения с сервером <адрес>:<порт> (<имя сервера>)
|
3
|
300112
|
Не определен сервис
Формат: не определен сервис: <имя сервиса>
|
3
|
300113
|
IP адрес занесен в «черный список»
|
3
|
300114
|
IP адрес удален из «черного список»
|
Каждому из событий в соответствии с протоколом Syslog назначается его приоритет, от 0 до 7. Приоритет имеет значение для принимающего сообщение Syslog сервера, и интерпретируется следующим образом:
Таблица. Приоритет событий
Приоритет
|
Описание
|
0
|
Авария: система неработоспособна (экстренная ситуация или останов системы);
|
1
|
Тревога: действия должны быть предприняты немедленно (Срочные ситуации);
|
2
|
Критично: критические условия и состояния;
|
3
|
Ошибка: Состояния ошибок (условия ошибки);
|
4
|
Предупреждение: условия предупреждений;
|
5
|
Извещение: нормальное рабочее состояние, но заслуживающее внимания условие (Необычные состояния);
|
6
|
Информация: информационные сообщения;
|
7
|
Отладка: сообщения диагностического уровня.
|
Для активации SNMP-агента на ФПСУ-TLS, в окне настройки SYSLOG укажите следующие параметры:
Использовать SNMP – флаг, включающий/выключающий работу SNMP-ответчика на ФПСУ-TLS. При выключенном флаге взаимодействие ФПСУ-TLS с SNMP-сервером невозможно. Включение или выключение осуществляется клавишей <Пробел>;
Пароль аутентификации – символьный пароль, указание которого требуется при направлении запроса от SNMP-сервера к работающему на ФПСУ-TLS SNMP-агенту. Поле можно оставить пустым, в таком случае пароль не будет установлен;
Пароль шифрования – символьный пароль, указание которого требуется для шифрования передаваемых данных SNMP-агентом SNMP-серверу.
Дислокация сервера – флаг «Внешний интерфейс» указывает, со стороны какого интерфейса находится SNMP-сервер – внешнего или внутреннего. Если флаг выключен (по умолчанию), то со стороны внутреннего. Если включен – со стороны внешнего сетевого интерфейса.
| 
