Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

13-0 Просмотр системных событий

Что такое системные события ?

Событиями являются сообщения межсетевого экрана более высокого уровня, т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям относятся сообщения, которые генерируются одним из трех главных модулей (пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации) или каким-либо другим компонентом межсетевого экрана, таким, например, как proxy сервер или каким-нибудь процессом ( при выполнении специфических задач).

При этом генерируются сообщеня с различными уровнями важности, начиная от полезной для контроля функционирования системы информации (например,сообщения о рестарте машины или об установлении сеанса администрирования межсетевого экрана), до информации об ошибках в при выполнении или в настройках.

Что такое фильтр событий ?

Чаще всего необходимо просмотреть выборку по определенному множеству событий, а не всю собираемую информацию(например, если Вы хотите просмотреть все вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество информации.

Фильтр разрешает только просматривать записанную в файле событий информацию. Для получения более специфической информации необходимо сначала настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.

13-1 Использование графического интерфейса пользователя

Для доступа к окну просмотра событий нужно выполнить следующие действия:

  • Выбрать меню Вид в главном окне
  • Выбрать опцию События

Окно фильтрации событий

При выборе опции События автоматически высвечивается окно Фильтрация событий . Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:

В верхней части окна расположены кнопки Сохранить и Удалить. Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.

Для сохранения фильтра статистики необходимо:

  1. Заполнить необходимые поля.
  2. Ввести в поле Фильтры имя сохраняемого фильтра
  3. Нажать кнопку Сохранить.

Для использования сохраненного фильтра необходимо выбрать его имя в поле Фильтры и все поля будут автоматически заполнены сохраненными данными.

Для удаления фильтра необходимо:

  1. Задать имя фильтра в поле Фильтры.
  2. Нажать кнопку Удалить.

По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы увидеть сообщения за другие дни, необходимо настроить поля Начальная дата и Конечная дата, описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).

Кроме этих полей, существуют и другие опции, которые можно применять в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра информации:

Приоритет:

Различные типы сообщений имеют различные приоритеты. Высший приоритет присваивается ниболее важным из них. В приведенном ниже списке описываются все возможные приоритеты в порядке убывания их важности. (Если межсетевой экран настроен для посылки копии данных регистрации через syslog, то будут генерироваться сообщения с указанными ниже приоритетами.):

При задании конкретного приоритета на экране будут показаны сообщения только с этим приоритетом.

    • Любой
Будут показаны сообщения с любым приоритетом
    • Ошибка
Сообщения с таким приоритом содержат информацию о какой-либо ошибке в конфигурации или действиях системы (например, отказ памяти). Сообщения с таким приоритом достаточно редки и на них следует реагировать как можно быстрее.
    • Предупреждение
Сообщения с таким приоритом свидетельствуют о возникновении серьезных нештатных ситуаций (например, во время установления сеанса удаленного администрирования возникла ошибка авторизации пользователя).
    • Замечание
Этот приоритет включает сообщения, в которых содержится информация, важная для системного администратора, но при этом не выходящая за рамки номального процесса функционирования (например, администратор начал сеанс удаленного администрирования).
    • Информация
Сообщения с этим приоритетом содержат полезную информацию, но не столь важную для администрирования межсетевого экрана, как предыдущие (например, закончился сеанс удаленного администрирования).
    • Отладка
Сообщения с этим приоритом не содержат важной информации, кроме необходимой для аудита. Сюда относятся, например, сообщения, которые генерируются модулем удаленного администрирования при каждой сделанной модификации в конфигурации межсетевого экрана или при его рестарте.

Модуль:

Эта опция позволяет увидеть сообщения, которые генерируются каким-либо из трех главных модулей системы или любым внешним сервером. При выборе конкретного модуля будут показаны только относящиеся к нему сообщения.

Кнопка Да накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.

Кнопка Отменить отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Помощь выводит окно подсказки по данному разделу.

Окно событий

Окно событий открывается после наложения нового фильтра. Оно состоит из списка сообщений. Обычно каждая строка списка соответствует отдельному сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений рассмотрен в следующем разделе.

Важные замечания:

  • Одновременно выводится 100 сообщений.
  • На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений.
  • Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения::
Синий      Отладка
Зеленый   Информация
Желтый   Замечание
Красный  Предупреждение
Черный    Ошибка
  • Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем.
Значения кнопок в окне событий
  • Кнопка Да закрывает окно событий.
  • Кнопка Обновить активизирует автоматическое обновление выводимой информации. При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Автоматическое обновление.
  • Кнопка Фильты открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр.
  • Кнопка Удалить все позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно:
Нажмите Да чтобы стереть все события или Нет для отказа от операции.

При стирании содержимого файла событий воостановить его можно только с резервной копии.

  • Кнопка Уплотнить уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу 4 Настройка параметров системы), что позволяет реорганизовать файл событий и улучшить времея доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события.
Если нажать эту кнопку, откроется следующее окно:
  • Кнопка Сохранить сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне.
Эта опция очень полезна для отправки копии событий другому лицу или для сохранения копии некоторых важных данных в текстовом формате. Если нажать эту кнопку, появится следующее окно:
Для экспортирования сообщений о событиях, введите имя создаваемого файла и нажмите кнопку Сохранить, для отмены операции нажмите кнопку Отменить.

Если существует файл с таким же именем, он будет переписан.

  • Кнопка >>След 100 позволяет вывести 100 следующих сообщений. Если они отсутствуют, опция будет недоступна.
  • Кнопка Пред 100<< позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна.
  • Кнопка Помощь открывает окно помощи по окну просмотра событий.

13-2 Формат и значения полей сообщений о событиях

Ниже описан формат сообщений и приводится описание их полей. Полный список всех возможных сообщений и их значений содержится в Приложении А

Формат записи:

<Date> <Time> <Message> [(Complement)]
[<Additional Data>]

Описание полей:

Date: Дата генерации записи.
Time: Время генерации записи.
Message: Текстовое сообщения, описывающее событие
(Complement): Это поле вносит некоторую дополнительную информацию и может присутствовать или нет, что зависит от характера сообщения. Если оно присутствует, то указывается в скобках.
Additional data: Информация в этом поле связана с сообщениями от proxy серверов. Она всегда появляются в строке под соответствующим сообщением. Она содержит адрес источника соединения и, в случае прозрачного proxy сервера, адрес назначения.

Примеры:

02/26/1998 13:27:11 Aker Firewall v3.01 - Initialization complete
02/26/1998 13:30:32 Telnet session established (user)
                    Source: 10.2.1.12 - Destination: 192.168.0.3
02/26/1998 12:48:23 Administrative session confirmation error (administrator)
02/26/1998 12:48:23 Administrative connection request (10.4.1.14)

13-3 Использование интерфейса командной строки

Интерфейс командной строки для просмотра событий обладает теми же возможностями, что и графический интерфейс. Доступны все его функции за исключением опции фильтрации для модуля; кроме того, интерфейс командной строки не показывает дополнительную информацию, которую выводит на дисплей графический интерфейс при выделении сообщения о событии.

Интерфейс командной строки для просмотра событий - это та же программа, что используется для просмотра статистики. Она рассмотрена в предыдущей главе.

Путь к программе: /etc/firewall/fwlog

Синтаксис:

fwlog help
fwlog [compact | clear] [log | events]
fwlog show [log | events] <begin_date> <end_date> [priority]
Program help:
Aker Firewall - Version 3.01
fwlog - интерфейс командной строки для просмотра статистики и событий
Использование: fwlog help
       fwlog [compact | clear] [log | events]
       fwlog show [log | events] <begin_date> <end_date> [priority]

       show       = показывает содержимое файла статистики или событий
       clear      = очищает  файлы статистики им событий от записей
       compact    = уплотняет файл статистики или событий
       help       = показывает данное сообщение

Для команд compact / clear / show :
       log        = действие выполняется с файлом статистики
       events     = действие выполняется с файлом событий

Для команды show:
       begin_date = дата, начиная с которой будут показаны записи
       end_date   = дата, по которую будут показаны записи 
                    (даты должны иметь формат mm/dd/yyyy)
       priority   = необязательный аргумент. Если он задан, он может 
      принимать следующие значения: ERROR, WARNING, NOTICE, INFORMATION или DEBUG. 
       (Если приоритет задан, будут показаны записи только с этим приоритетом)
Пример 1: (просмотр событий с 03/07/1998 по 03/08/1998)
#fwlog show events 03/07/1998 03/08/1998

03/08/1998 11:39:35 Administrative session closed
03/08/1998 09:13:09 Administrative session established (administrator, CF CL MU)
03/08/1998 09:13:09 Administrative session request (10.4.1.14)
03/08/1998 09:09:49 Operation on the log file (Compact)
03/07/1998 10:27:11 Aker Firewall v3.01 - Initialization complete
03/07/1998 08:57:11 UDP translation table full
Пример 2: (Просмотр событий с 03/07/ 1998 по 03.08.1998 с приоритетом debug)
#fwlog show events 03/07/1998 03/08/1998 debug

03/08/1998 09:09:49 Operation on the log file (Compact)
03/07/1998 10:27:11 Aker Firewall v3.01 - Initialization complete
Пример 3: (Очистка содержимого файла событий)
#fwlog clear events
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...