Формат отправляемых SysLog сообщений

По каждому из отслеживаемых событий, описанных в предыдущем пункте, ФПСУ‑IP отправляет текстовое SysLog-сообщение, состоящее из нескольких информационных полей. Границы полей после поля «ФПСУ» обозначаются запятой «,».

Каждое сообщение начинается с обязательного для SysLog-сообщений от ФПСУ-IP заголовка, который состоит из следующих полей:

Служебное число

Дата отправления сообщения с ФПСУ-IP

Серийный номер ФПСУ

ФПСУ

Код события

Имя события

Детали события

Номер ФПСУ в системе «горячего» резерва

Служебное число

Дата и время в формате

Мес ДД ЧЧ:ММ:СС

Серийный номер ФПСУ-IP, отправившего сообщение

Текст

[FPSU]:

Код события в соответствии с таблицей 4

Текст, содержащий название события

Дополнительные поля, в зависимости от события

1, если основной/ единственный ФПСУ;

2, резервный

Кроме полей заголовка, к сообщению прикрепляется дополнительная информация, в зависимости от произошедшего события:

100001 Передача конфигурации АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100003 Изменение конфигурации АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100004 Установка ключей ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Ключ» имя группы ключей, номер серии ключей, номер комплекта ключей, текстовый комментарий удаленного администратора;

100005 Удаление ключей ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Ключ» имя группы ключей, номер серии ключей, номер комплекта ключей, текстовый комментарий удаленного администратора;

100006 Установка ключа ЦГКК АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Криптосеть номер» номер установленной Криптосети Клиентов, текстовый комментарий удаленного администратора;

100007 Удаление ключа ЦГКК АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Криптосеть номер» номер удалённой Криптосети Клиентов, текстовый комментарий удаленного администратора;

100008 Перезагрузка ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора;

100009 Согласование времени с АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100010 Подключение УА – служебный текст «Удаленный администратор», имя удаленного администратора, служебный текст «подключился с IP-адреса» IP адрес удалённого администратора, «на порт» PORT;

110001 Локальная установка ключей ФПСУ – служебный текст «Локальная установка ключей ФПСУ, Ключ», имя группы ключей, номер ключа, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110002 Локальное удаление ключей ФПСУ АДМ – служебный текст «Локальное удаление ключей ФПСУ, Ключ», имя группы ключей, номер ключа, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110003 Локальная установка ключа ЦГКК – служебный текст «Локальная установка ключей клиентов, Криптосеть», имя Криптосети, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110004 Локальное удаление ключа ЦГКК – служебный текст «Локальное удаление ключей клиентов, Криптосеть», имя Криптосети, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110005 Локальное изменение конфигурации – служебный текст «Локальное изменение конфигурации», служебный текст «предъявлен токен» имя(роль) локального администратора;

110006 Изменение конфигурации LAN-адаптеров – служебный текст «Локальное изменение конфигурации LAN-адаптеров», служебный текст «предъявлен токен» имя локального администратора;

200001 Потеряна связь с ФПСУ – серийный номер и IP-адрес ФПСУ-IP, с которым потеряно защищенное соединение;

200002 Восстановлена связь с ФПСУ – серийный номер и IP-адрес ФПСУ-IP, с которым восстановлено защищенное соединение;

200003 Включение ФПСУ – дополнительные поля отсутствуют;

200004 Выключение ФПСУ – дополнительные поля отсутствуют;

200005 Перегруженность ФПСУ – загрузка ЦПУ, в процентах;

200007 Период <MARK> – служебный текст «CPU(%)», загрузка ЦПУ, «Температура», температура ЦПУ по шкале Цельсия;

300001 Соединение с клиентом – имя подключившегося Клиента, номер Криптосети Клиента, номер Группы Клиента, номер Клиента в группе, серийный номер устройства VPN-Key/Client, служебный текст «Порт», номер порта ФПСУ-IP, к которому произошло подключение; служебный текст «IP», IP-адрес порта ФПСУ-IP, к которому произошло подключение; служебный текст «IP-адрес NAT/Real», выданный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети, MAC-адрес подключившегося Клиента, служебный текст «HW vers:», версия микрокода устройства VPN-Key/Клиент, служебный текст «SW vers:» версия программного обеспечения ФПСУ-IP/Клиента, служебный текст «OS vers:» название и версия операционной системы рабочей станции подключившегося Клиента;

300002 Разъединение с клиентом – имя отключившегося Клиента, номер Криптосети Клиента, номер Группы Клиента, номер Клиента в группе, серийный номер устройства VPN-Key/Client, служебный текст «Port», номер порта ФПСУ-IP, от которого произошло отключение; служебный текст «IP», IP-адрес порта ФПСУ-IP, от которого произошло отключение; служебный текст «IP-адрес NAT/Real», полученный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети, MAC-адрес отключившегося Клиента;

300010 – служебный текст «RKL: Запрос на получение ключа» имя группы ключей, номер ключа, служебный текст «токен» имя(роль) локального администратора, O/C, ID, ключ, лицензия, администратор;

300011 – служебный текст «RKL: Запрос на обновление ключа» имя группы ключей, номер ключа, служебный текст «токен» имя(роль) локального администратора, O/C, ID, ключ, лицензия, администратор;

300012 – служебный текст «RKL: Подтверждение получения ключа» имя группы ключей, номер ключа, ID, терминал;

300020 – служебный текст «Авторизация RADIUS» имя Клиента, логин на сервере RADIUS, номер Криптосети Клиента - номер Группы Клиента - номер Клиента в группе, служебный текст «s/n», серийный номер устройства VPN-Key/Client, служебный текст «Port», номер порта ФПСУ-IP, с которого произошла авторизация; служебный текст «IP», IP-адрес порта ФПСУ-IP, с которого произошла авторизация; служебный текст «IP-адрес NAT/Real», полученный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети;

400001 Переход Основной - Резервный – режим функционирования ФПСУ-IP горячего резерва, на который произошло переключение (основной или резервный);

400002 Нет связи Основной - Резервный – режим функционирования ФПСУ-IP горячего резерва, с которым не удаётся установить связь (основной или резервный);

400003 Нет канала Основной - Резервный – служебный текст «Нет связи на порту», номер порта ФПСУ-IP, служебный текст «горячего резерва»;

500001 Link UP порта – логический номер LAN-порта, а также его IP-адрес;

500002 Link DOWN порта – логический номер LAN-порта, а также его IP-адрес;

500003 Перегрев – температура ЦПУ по шкале Цельсия;

500004 Сбой диска – дополнительные поля отсутствуют;

500005 Текущая температура – служебный текст «Температура», температура ЦПУ по шкале Цельсия;

500006 Окончание поддержки – служебный текст «Поддержка комплекса истекает», дата;

510001 MAC-адрес занесен в ARP-таблицу – служебный текст «MAC-адрес добавлен» MAC-адрес станции, IP-адрес станции, «Порт ФПСУ» PORT, «VLAN ID» VLAN;

510002 MAC-адрес исключен из ARP-таблицы – служебный текст «MAC-адрес удален» MAC-адрес станции, IP-адрес станции, «Порт ФПСУ» PORT, «VLAN ID» VLAN;

700001 Соединение разрешено МЭ – Служебный текст «Соединение разрешено МЭ» ,«SRC IP:port» IP:port «(SRC NAT/MAP » IP:port «)», «DST IP:port» IP:port «(DST NAT/MAP » IP:port «)», «Протокол» PROTO, «Правило» Rules name, «SRC данные/пакеты» byte/pkt, «DST данные/пакеты» byte/pkt, «Входящий порт ФПСУ» PORT, «Исходящий порт ФПСУ» PORT, «Длительность» work time «сек»;

700002 Соединение запрещено МЭ – Служебный текст «Соединение запрещено МЭ» , «SRC IP:port» IP:port, «DST IP:port» IP:port, «Протокол» PROTO, «Правило» Rule name (FLOOD/IPS/RADM), «Порт ФПСУ» PORT, time;

700003 Абонент заблокирован МЭ (flood) – Служебный текст «FLOOD заблокировал», IP-адрес, период блокировки «с до» в формате hh:mm:ss;

700004 Абонент разблокирован МЭ (flood) – Служебный текст «FLOOD разблокировал», IP-адрес, время в формате hh:mm:ss;

700007 Блокировка абонента МЭ ФПСУ-IP – служебный текст «Администратор» удаленный администратор, «заблокировал IP» IP-адрес, период блокировки «с до» в формате mm-dd-yyyy hh:mm:ss;

700008 Разблокировка абонента МЭ ФПСУ-IP – служебный текст «Администратор» удаленный администратор, «разблокировал IP» IP-адрес, период разблокировки «с» в формате mm-dd-yyyy hh:mm:ss;

700013 Соединение запрещено МЭ (DPI) – служебный текст «Соединение заблокировано подсистемой DPI, правило», правило, IP:port источника, IP:port назначения, «PROTO» протокол, «Правило» Rule name DPI, time;

900099 IDS: система запускается – дополнительные поля отсутствуют;

900100 IDS: система запущена – дополнительные поля отсутствуют;

900101 IDS: система остановлена – дополнительные поля отсутствуют;

900103 IDS: База решающих правил обновлена – Служебный текст «IDS: База решающих правил обновлена», общее количество правил, количество включенных правил, количество добавленных правил, количество изменённых правил, количество удалённых правил;

900500 IDS: Ошибка — невозможно запустить систему – Служебный текст «IDS: Невозможно запустить систему», внутренний код ошибки (для разработчиков), описание ошибки;

900501 IDS: Критическая проблема при работе – Служебный текст «IDS: Критическая проблема при работе», внутренний код ошибки (для разработчиков), описание ошибки;

900505 IDS: Ведение локальной БД сработавших тревог отключено - достигнут лимит – дополнительные поля отсутствуют;

900200 IDS: Периодическое сообщение о статусе IDS – Служебный текст «-- MARK --», служебный текст «detect.alert», количество срабатываний правил, служебный текст «capture.kernel_packets», количество обработанных пакетов с момента предыдущего сообщения MARK, служебный текст «capture.kernel_drops», количество сброшенных пакетов;

900401 IDS: Сработала тревога уровня 1 (максимальная опасность) – Служебный текст «IDS: Тревога уровня 1», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900402 IDS: Сработала тревога уровня 2 – Служебный текст «IDS: Тревога уровня 2», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900403 IDS: Сработала тревога уровня 3 – Служебный текст «IDS: Тревога уровня 3», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900404 IDS: Сработала тревога уровня 4 (и более, вплоть до 255, но код сообщения не меняется после 4х) – Служебный текст «IDS: Тревога уровня 4», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900410 IDS: Эвристикой обнаружены потенциальные угрозы – Служебный текст «IDS: Эвристикой обнаружены потенциальные угрозы», идентификатор события, IP-адрес,...;

900420 IDS: Записи в локальной БД о сработавших тревогах были сжаты и перенесены в архив – дополнительные поля отсутствуют;

900430 IDS: Запрос на блокировку IP через МЭ ФПСУ – уровень серьёзности угрозы, сообщение, IP-адрес источника угрозы, IP-адрес назначения (Когда сообщение «Heuristic-C», то IP-адрес назначения - 0).