Логи

На вкладке Логи задаются настройки Syslog-сервера и настройки логирования сиcтемы IDS.

Настройка Syslog-сервера:

Сервер – Syslog-сервера может быть задан как системный, так и свой. Системный Syslog-сервер настраивается в меню «Сетевые сервисы → SysLog/SNMP» (см. раздел «Syslog-клиент на ФПСУ»). Свой Syslog-сервер настраивается только для системы IDS, отличный от системного.

Адрес – в поле указывается IP-адрес SysLog сервера, на него будут отправляться SysLog-сообщения.

Порт – поле выбора UDP-порта SysLog сервера, принимающего сообщения. По умолчанию - рекомендуемый UDP:514.

Отправитель – порт ФПСУ, чей IP-адрес будет указан в качестве отправителя SysLog-сообщений. По умолчанию режим «Авто», в качестве отправителя будет указан тот порт, на котором описан принадлежащий Syslog-серверу IP-адрес. Администратор может безусловно указать, что сообщения следует отправлять от IP-адреса указанного порта ФПСУ.

Система IDS создает журналы свершившихся событий и выполняемых системой действий в разных форматах.

Файлы логов пишутся только на съемный носитель, который должен быть подключен перед запуском.

Eve – логи Fast+Stats в json формате. В логе выводится информация о срабатываниях правил, краткая статистика об обработанных пакетах.

Fast – в логе выводится информация о срабатываниях правил.

Stats – в логе выводится краткая статистика об обработанных пакетах.

Pcap – пакет, который приняла система IDS, открывать программой Wireshark.

Alert-debug – лог для отладки правил.

TCP-data – необработанное содержимое пакетов TCP после установки соединений.

Для выхода в меню с сохранением настроек IDS, нажмите кнопку «Сохранить» или клавишу <F2> на вкладке «Действия». Выход без сохранения осуществляется по клавише <Esc>, в этом случае настройки на вкладках сохранены не будут.