Служебные протоколы > Syslog-клиент на ФПСУ
Previous 

Формат отправляемых SysLog сообщений

 Next

По каждому из отслеживаемых событий, описанных в предыдущем пункте, ФПСУ‑IP отправляет текстовое SysLog-сообщение, состоящее из нескольких информационных полей. Границы полей после поля «ФПСУ» обозначаются запятой «,».

Каждое сообщение начинается с обязательного для SysLog-сообщений от ФПСУ-IP заголовка, который состоит из следующих полей:

Таблица. Формат SysLog сообщения

Служебное число

Дата отправления сообщения с ФПСУ-IP

Серийный номер ФПСУ

 ФПСУ  

Код события

Имя события

Детали события

Номер ФПСУ в системе «горячего» резерва

Служебное число

Дата и время в формате

Мес ДД ЧЧ:ММ:СС

Серийный номер ФПСУ-IP, отправившего сообщение

Текст

[FPSU]:

Код события в соответствии с таблицей 4

Текст, содержащий название события

Дополнительные поля, в зависимости от события

1, если основной/ единственный ФПСУ;

2, резервный

Кроме полей заголовка, к сообщению прикрепляется дополнительная информация, в зависимости от произошедшего события:

100001 Передача конфигурации АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100003 Изменение конфигурации АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100004 Установка ключей ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Ключ» имя группы ключей, номер серии ключей, номер комплекта ключей, текстовый комментарий удаленного администратора;

100005 Удаление ключей ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Ключ» имя группы ключей, номер серии ключей, номер комплекта ключей, текстовый комментарий удаленного администратора;

100006 Установка ключа ЦГКК АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Криптосеть номер» номер установленной Криптосети Клиентов, текстовый комментарий удаленного администратора;

100007 Удаление ключа ЦГКК АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, служебный текст «Криптосеть номер» номер удалённой Криптосети Клиентов, текстовый комментарий удаленного администратора;

100008 Перезагрузка ФПСУ АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора;

100009 Согласование времени с АДМ – служебный текст «Администратор» имя удаленного администратора, номер порта ФПСУ-IP, к которому подключился удаленный администратор, IP адрес удалённого администратора, текстовый комментарий удаленного администратора;

100010 Подключение УА – служебный текст «Удаленный администратор», имя удаленного администратора, служебный текст «подключился с IP-адреса» IP адрес удалённого администратора, «на порт» PORT;

110001 Локальная установка ключей ФПСУ – служебный текст «Локальная установка ключей ФПСУ, Ключ», имя группы ключей, номер ключа, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110002 Локальное удаление ключей ФПСУ АДМ – служебный текст «Локальное удаление ключей ФПСУ, Ключ», имя группы ключей, номер ключа, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110003 Локальная установка ключа ЦГКК – служебный текст «Локальная установка ключей клиентов, Криптосеть», имя Криптосети, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110004 Локальное удаление ключа ЦГКК – служебный текст «Локальное удаление ключей клиентов, Криптосеть», имя Криптосети, служебный текст «Серия» номер серии ключей, служебный текст «предъявлен токен» имя(роль) локального администратора;

110005 Локальное изменение конфигурации – служебный текст «Локальное изменение конфигурации», служебный текст «предъявлен токен» имя(роль) локального администратора;

110006 Изменение конфигурации LAN-адаптеров – служебный текст «Локальное изменение конфигурации LAN-адаптеров», служебный текст «предъявлен токен» имя локального администратора;

110007 Локальное изменение настроек дополнения – серийный номер ФПСУ-IP, служебный текст «Локальное изменение настроек дополнения:», название дополнения, изменённые настройки, служебный текст «предъявлен токен» имя(роль) локального администратора;

200001 Потеряна связь с ФПСУ – серийный номер и IP-адрес ФПСУ-IP, с которым потеряно защищенное соединение;

200002 Восстановлена связь с ФПСУ – серийный номер и IP-адрес ФПСУ-IP, с которым восстановлено защищенное соединение;

200003 Включение ФПСУ – дополнительные поля отсутствуют;

200004 Выключение ФПСУ – дополнительные поля отсутствуют;

200005 Перегруженность ФПСУ – загрузка ЦПУ, в процентах;

200007 Период <MARK> – служебный текст «CPU(%)», загрузка ЦПУ, «Температура», температура ЦПУ по шкале Цельсия;

200011 Потеряна  связь с ФПСУ в потоке –  номер потока, номер UDP порта, имя туннеля, IP-адрес туннеля;

200021 Восстановлена  связь с ФПСУ в потокеномер потока, номер UDP порта, имя туннеля, IP-адрес туннеля;

300001 Соединение с клиентом –  имя подключившегося Клиента, номер Криптосети Клиента, номер Группы Клиента, номер Клиента в группе, серийный номер устройства VPN-Key/Client, служебный текст «Порт», номер порта ФПСУ-IP, к которому произошло подключение; служебный текст «IP», IP-адрес порта ФПСУ-IP, к которому произошло подключение; служебный текст «IP-адрес NAT/Real», выданный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети, MAC-адрес подключившегося Клиента, служебный текст «HW vers:», версия микрокода устройства VPN-Key/Клиент, служебный текст «SW vers:» версия программного обеспечения ФПСУ-IP/Клиента, служебный текст «OS vers:» название и версия операционной системы рабочей станции подключившегося Клиента;

300002 Разъединение с клиентом – имя отключившегося Клиента, номер Криптосети Клиента, номер Группы Клиента, номер Клиента в группе, серийный номер устройства VPN-Key/Client, служебный текст «Port», номер порта ФПСУ-IP, от которого произошло отключение; служебный текст «IP», IP-адрес порта ФПСУ-IP, от которого произошло отключение; служебный текст «IP-адрес NAT/Real», полученный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети, MAC-адрес отключившегося Клиента;

300004 Ошибка авторизации – служебный текст «RADIUS: ошибка авторизации, клиент» имя Клиента, номер Криптосети Клиента, номер Группы Клиента, номер Клиента в группе, серийный номер устройства VPN-Key/Client;

300010 Запрос получения ключа – служебный текст «RKL: Запрос на получение ключа» имя группы ключей, номер ключа, служебный текст «токен» имя(роль) локального администратора, O/C, ID, ключ, лицензия, администратор;

300011 Запрос обновления ключа – служебный текст «RKL: Запрос на обновление ключа» имя группы ключей, номер ключа, служебный текст «токен» имя(роль) локального администратора, O/C, ID, ключ, лицензия, администратор;

300012 Подтверждение получения ключа – служебный текст «RKL: Подтверждение получения ключа» имя группы ключей, номер ключа, ID, терминал;

300013 Не удалось установить соединение служебный текст «Не удалось установить соединение» имя Клиента, номер Криптосети Клиента - номер Группы Клиента -  номер Клиента в группе, служебный текст «Port», номер порта ФПСУ-IP, с которого не удалось соединиться; служебный текст «IP», IP-адрес порта ФПСУ-IP, с которого не удалось соединиться, служебный текст «Отвергается доступ в криптосеть»;

300013 Не удалось установить соединение служебный текст «Не удалось установить соединение» имя Клиента, номер Криптосети Клиента - номер Группы Клиента -  номер Клиента в группе, служебный текст «Port», номер порта ФПСУ-IP, с которого не удалось соединиться; служебный текст «IP», IP-адрес порта ФПСУ-IP, с которого не удалось соединиться, служебный текст «Неверная аппаратная привязка клиента»;

300020 Авторизация RADIUS – служебный текст «Авторизация RADIUS» имя Клиента, логин на сервере RADIUS, номер Криптосети Клиента - номер Группы Клиента -  номер Клиента в группе, служебный текст «s/n», серийный номер устройства VPN-Key/Client, служебный текст «Port», номер порта ФПСУ-IP, с которого произошла авторизация; служебный текст «IP», IP-адрес порта ФПСУ-IP, с которого произошла авторизация; служебный текст «IP-адрес NAT/Real», полученный от ФПСУ-IP NAT-IP-адрес Клиента, IP-адрес Клиента во внешней сети;

310001 Соединение с PKI-клиентом – служебный текст «Соединение с клиентом [CN сертификата]», Порт, «PORT», IP «IP», IP NAT/Real «IP NAT»/ «IP»;

310002 Разъединение с PKI-клиентом – служебный текст «Разъединение с клиентом [CN сертификата]», Порт, «PORT», IP «IP», IP NAT/Real «IP NAT»/ «IP»;

400001 Переход Основной - Резервный – режим функционирования ФПСУ-IP горячего резерва, на который произошло переключение (основной или резервный);

400002 Нет связи Основной - Резервный – режим функционирования ФПСУ-IP горячего резерва, с которым не удаётся установить связь (основной или резервный);

400003 Нет канала Основной - Резервный – служебный текст «Нет связи на порту», номер порта ФПСУ-IP, служебный текст «горячего резерва»;

500001 Link UP порта – логический номер LAN-порта, а также его IP-адрес;

500002 Link DOWN порта – логический номер LAN-порта, а также его IP-адрес;

500003 Перегрев – температура ЦПУ по шкале Цельсия;

500004 Сбой диска – дополнительные поля отсутствуют;

500005 Текущая температура – служебный текст «Температура», температура ЦПУ по шкале Цельсия;

500006 Окончание поддержки – служебный текст «Поддержка комплекса истекает», дата;

500007 Sfp мониторинг – служебный текст «Порт» порт, «Sfp» (RX мощность, TX мощность, температура): значение параметра;

500008 xstats портов – порт, параметр значение параметра,...;

500009 Появление нового дампаслужебный текст «Сгенерирован новый дамп», имя файла дампа;

510001 MAC-адрес занесен в ARP-таблицу – служебный текст «MAC-адрес добавлен» MAC-адрес станции, IP-адрес станции, «Порт ФПСУ» порт, «VLAN ID» VLAN;

510002 MAC-адрес исключен из ARP-таблицы – служебный текст «MAC-адрес удален» MAC-адрес станции, IP-адрес станции, «Порт ФПСУ» порт, «VLAN ID» VLAN;

600001 Обмен в режиме ретрансляции служебный текст «Обмен в режиме ретрансляции», служебный текст «SRC IP» IP-адрес источника, служебный текст «DST IP» IP-адрес назначения, служебный текст «SRC DATA» байт/количество пакетов источника, служебный текст «DST DATA» байт/количество пакетов назначения, служебный текст «Входящий порт ФПСУ» порт, служебный текст «Исходящий порт ФПСУ» порт, служебный текст «Длительность» время обмена;

600002 Обмен в режиме туннелирования служебный текст «Обмен в режиме туннелирования», служебный текст «SRC IP» IP-адрес источника служебный текст «(IP FPSU [IP-адрес ФПСУ-IP])», служебный текст «DST IP» IP-адрес назначения служебный текст «(IP FPSU [IP-адрес ФПСУ-IP])», служебный текст «SRC DATA» данные источника байты/пакеты «([byte/pkt]  byte/pkt)», служебный текст «DST DATA» данные назначения байты/пакеты «([byte/pkt]  byte/pkt)», служебный текст «Входящий порт ФПСУ» порт, служебный текст «Исходящий порт ФПСУ» порт,  служебный текст «Длительность» время;

600003 Обмен Клиент-Абонент служебный текст «Обмен Клиент-Абонент», служебный текст «Клиент» номер Криптосети Клиента.номер Группы Клиента.  номер Клиента в группе, служебный текст «Имя» имя клиента, служебный текст «IP-адрес» IP-адрес клиента, служебный текст «NAT IP» IP-адрес клиента, «([IP FPSU])» , служебный текст «Абонент IP» IP-адрес абонента «([IP FPSU])», служебный текст «Клиент DATA» данные клиента байты/пакеты «([byte/pkt]  byte/pkt)» , служебный текст «Абонент DATA» данные абонента байты/пакеты «([byte/pkt]  byte/pkt)», служебный текст «Входящий порт ФПСУ» порт, служебный текст «Исходящий порт ФПСУ» порт,  служебный текст «Длительность» время;

600004 Отказ - отправитель не зарегистрирован служебный текст «Отказ - отправитель не зарегистрирован на ФПСУ», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600005 Отказ - получатель не зарегистрирован служебный текст «Отказ - получатель не зарегистрирован на ФПСУ», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600006 Отказ - маршрут неизвестен служебный текст  «Ошибка - маршрут неизвестен», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600007 Ошибка - абонент не должен работать в режиме «через ФПСУ» служебный текст «Ошибка - абонент не должен работать через ФПСУ», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600008 Ошибка - абонент должен работать в режиме «через ФПСУ» служебный текст «Ошибка - абонент должен работать в режиме "через ФПСУ"», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600009 Удаленный ФПСУ-IP не работает служебный текст «Ошибка - удаленный ФПСУ-IP не работает», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600010 МАС-адрес станции совпадает с адресом ФПСУ-IP служебный текст «Ошибка - МАС-адрес станции совпадает с адресом ФПСУ-IP», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

600011 Запрет по режиму работы с партнером служебный текст «Запрет по режиму работы с партнером», служебный текст «SRC IP:port» IP-адрес:порт «([IP FPSU])», служебный текст «DST IP:port» IP-адрес:порт «([IP FPSU])», «Протокол» протокол, «Попыток» пакетов, «Порт ФПСУ» порт, «Длительность» время «сек»;

700001 Соединение разрешено МЭ служебный текст «Соединение разрешено МЭ» , служебный текст «SRC IP:port» IP-адрес:порт «(SRC NAT/MAP [IP-адрес:порт])», служебный текст «DST IP:port» IP-адрес:порт «(DST NAT/MAP [IP-адрес:порт])», «Протокол» протокол, «Правило» правило, «SRC данные/пакеты» byte/pkt, «DST данные/пакеты» byte/pkt, «Входящий порт ФПСУ» порт, «Исходящий порт ФПСУ» порт, «Длительность» время «сек»;

700002 Соединение запрещено МЭ служебный текст «Соединение запрещено МЭ» , служебный текст «SRC IP:port» IP-адрес:порт, служебный текст «DST IP:port» IP-адрес:порт, «Протокол» протокол, «Правило» правило (FLOOD/IPS/RADM), «Порт ФПСУ» порт, время;

700003 Абонент заблокирован МЭ (flood) – служебный текст «FLOOD заблокировал», IP-адрес, период блокировки «с до» в формате hh:mm:ss;

700004 Абонент разблокирован МЭ (flood) – служебный текст «FLOOD разблокировал», IP-адрес, время в формате hh:mm:ss;

700005 Абонент заблокирован СОВ служебный текст «IPS заблокировал», IP-адрес, период блокировки «с до» в формате hh:mm:ss;

700006 Абонент разблокирован СОВ служебный текст «IPS разблокировал», IP-адрес, время разблокировки в формате hh:mm:ss;

700007 Блокировка абонента МЭ ФПСУ-IP – служебный текст «Администратор» имя администратора, «заблокировал IP» IP-адрес, период блокировки «с до» в формате mm-dd-yyyy hh:mm:ss;

700008 Разблокировка абонента МЭ ФПСУ-IP – служебный текст «Администратор» имя администратора, «разблокировал IP» IP-адрес, период разблокировки «с» в формате mm-dd-yyyy hh:mm:ss;

700009 Администратор заблокировал Port служебный текст «Администратор» имя администратора служебный текст «заблокировал Port»  порт «с» время блокировки в формате mm-dd-yyyy hh:mm:ss;

700010 Администратор разблокировал Port служебный текст «Администратор» имя администратора «разблокировал Port» порт «с» время разблокировки в формате mm-dd-yyyy hh:mm:ss;

700011 Администратор заблокировал Proto служебный текст «Администратор» имя администратора «заблокировал Proto» протокол «с» время блокировки в формате mm-dd-yyyy hh:mm:ss;

700012 Администратор разблокировал Proto служебный текст «Администратор» имя администратора «разблокировал Proto»  протокол «с» время разблокировки в формате mm-dd-yyyy hh:mm:ss;

700013 Соединение запрещено МЭ (DPI) – служебный текст «Соединение запрещено МЭ (DPI)», IP-адрес:порт источника, IP-адрес:порт назначения, служебный текст «Протокол» протокол, служебный текст «Правило» правило DPI, время;

700013 FLOOD включился – служебный текст «FLOOD включился», протокол {ICMP, UDP, TCP};

700014 FLOOD выключился – служебный текст «FLOOD выключился», протокол {ICMP, UDP, TCP};

820001 Начало отчетного периода идентификатор узла, абонент, СКЗИ_локальный - СКЗИ_удаленный, длительность периода (сек), лимит ключей;

820002 Выдан ключ абоненту идентификатор узла, абонент, СКЗИ_локальный - СКЗИ_удаленный, остаток лимита ключей;

820003 Ошибка выдачи ключа абоненту идентификатор узла, абонент, СКЗИ_локальный - СКЗИ_удаленный, код ошибки;

900099 IDS: система запускается – дополнительные поля отсутствуют;

900100 IDS: система запущена – дополнительные поля отсутствуют;

900101 IDS: система остановлена – дополнительные поля отсутствуют;

900103 IDS: База решающих правил обновлена – служебный текст «IDS: База решающих правил обновлена», общее количество правил, количество включенных правил, количество добавленных правил, количество изменённых правил, количество удалённых правил;

900104 IDS: Переконфигурирование завершено успешно – дополнительные поля отсутствуют;

900200 IDS: Периодическое сообщение о статусе IDS – служебный текст «-- MARK --», служебный текст «detect.alert», количество срабатываний правил, служебный текст «capture.kernel_packets», количество обработанных пакетов с момента предыдущего сообщения MARK, служебный текст «capture.kernel_drops», количество сброшенных пакетов;

900401 IDS: Сработала тревога уровня 1 (максимальная опасность) – служебный текст «IDS: Тревога уровня 1», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900402 IDS: Сработала тревога уровня 2 – служебный текст «IDS: Тревога уровня 2», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900403 IDS: Сработала тревога уровня 3 – служебный текст «IDS: Тревога уровня 3», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900404 IDS: Сработала тревога уровня 4 (и более, вплоть до 255, но код сообщения не меняется после 4х) – служебный текст «IDS: Тревога уровня 4», SID сработавшего правила, группа сработавшего правила, протокол сработавшего правила, IP-адрес источника тревоги, порт источника, IP-адрес назначения, порт назначения;

900410 IDS: Эвристикой обнаружены потенциальные угрозы – служебный текст «IDS: Эвристикой обнаружены потенциальные угрозы», идентификатор события, IP-адреса;

900420 IDS: Записи в локальной БД о сработавших тревогах были сжаты и перенесены в архив – дополнительные поля отсутствуют;

900430 IDS: Запрос на блокировку IP через МЭ ФПСУ – уровень серьёзности угрозы, сообщение, IP-адрес источника угрозы, IP-адрес назначения (при сообщении «Heuristic-C» IP-адрес назначения - 0).

900500 IDS: Ошибка — невозможно запустить систему – служебный текст «IDS: Невозможно запустить систему», внутренний код ошибки (для разработчиков), описание ошибки;

900501 IDS: Критическая проблема при работе – служебный текст «IDS: Критическая проблема при работе», внутренний код ошибки (для разработчиков), описание ошибки;

900502 IDS: Ошибка переконфигурации – служебный текст «IDS: Ошибка переконфигурации», внутренний код ошибки (для разработчиков), описание ошибки;

900503 IDS: Критическая ошибка при запуске – служебный текст «IDS: Критическая ошибка при запуске», внутренний код ошибки (для разработчиков), описание ошибки;

900505 IDS: Ведение локальной БД сработавших тревог отключено - достигнут лимит – дополнительные поля отсутствуют;