Syslog jarak jauh

Mengaktifkan modul ini memungkinkan untuk mengirimkan semua pesan sistem (syslog) Ideco NGFW kepada kolektor pihak ketiga (Syslog Collector) atau ke sistem SIEM.

Meneruskan pesan sistem

Untuk mengonfigurasi penerusan pesan sistem, buka bagian Laporan dan Log -> Syslog dan ikuti langkah-langkah berikut:

1. Tentukan alamat IP server kolektor (alamat IP lokal "abu-abu" atau publik "putih").

2. Di kolom Port, masukkan port apa pun dari rentang 1 hingga 65535.

3. Pilih format pesan sistem yang dikirimkan (Syslog atau CEF).

4. Pilih protokol transmisi log sistem - TCP atau UDP.

5. Klik Simpan dan alihkan opsi di bagian atas halaman ke Aktif:

Disarankan untuk mengirimkan log menggunakan protokol TCP, karena menjamin pengiriman dan menjaga urutan pesan.

Dekripsi log yang dikirimkan

Format CEF

Log dalam format CEF selalu diawali dengan baris seperti:

02-04-2024T14:20:01+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|

Di mana:

  • 2024-04-02T14:16:22+05:00 - waktu acara di Ideco NGFW;

  • ideco-ngfw - nama host server NGFW, ditentukan di sudut kiri atas antarmuka web;

  • CEF:0 - versi format CEF;

  • Ideco - penjual;

  • NGFW - nama produk (dapat bervariasi tergantung produk);

  • 17.0 - versi produk (dapat berubah tergantung versi);

  • 0|syslog|0 - tiga bidang - pengidentifikasi unik jenis peristiwa, deskripsi peristiwa, dan tingkat keparahan peristiwa. Log ID, permanen untuk NGFW.

Pencegahan Intrusi
02-04-2024T14:16:22+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712049382 Severity=Peringatan DeviceProcessName=web-proxy DeviceCustomString1=1831848834213181 =seq: Leth8 {3 DeviceProcessName=suricata_debug DeviceCustomString5=peringatan SourceAddress=192.168.100.17 DeviceCustomString1=local DeviceCustomString1Label=Src Tipe IP SourcePort=49777 SourceCountry= DeviceCustomString2= DeviceCustomString2Label=Src Kode Negara DeviceCustomString3=70977265-2 44f7-8281-b0e26cae1c46 DeviceCustomString3Label=Sesi Src UUID SourceUserID=59 SourceUserName=192.168.100.17 DestinationAddress=52.185.211.133 DeviceCustomString4=DeviceCustomString4Label eksternal=Jenis IP Pertama DestinationPort=443 DestinationCountry=US DeviceCustomString5=US DeviceCustomString5Label=Kode Negara Pertama DeviceCustomString6= ustomString6La bel=Sesi pertama UUID DestinationUserID=-1 DestinationUserName= TransportProtocol= TCP DeviceEventClassID=1006202 Pesan=Windows Telemetri DeviceEventCategory=Keparahan Telemetri Windows=3 DeviceCustomString8=1 DeviceCustomString8Label=Peringatan GID DeviceCustomString9=diblokir DeviceCustomString9Label=Tindakan peringatan DestinationHostName= RequestUrl= RequestClientApplication= FlexNumber1=3 FlexNumber1Label =Aruskan paket ke server FlexNumber 2=1 FlexNumber2Label=Aliran paket ke klien BytesIn=390 BytesOut=66 StartTime=2024-04-02 09:16:22.885262 EndTime=2024-04-02 09:16:22.887440 FlexNumber3=0 FlexNumber3Label=flow DeviceCustomString11= DeviceCustomString11Label=flow.state DeviceCustomString12 Perangkat String Khusus12Label= flow.reason FlexNumber4=0 FlexNumber4Label=flow.alerted DeviceCustomString14= DeviceCustomString14Label=tcp.tcp_flags DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc ber5= 0 FlexNumber5Label=tcp.cwr FlexNumber6=0 FlexNumber6Label=tcp.ecn FlexNumber7= 0 FlexNumber7Label=tcp.urg FlexNumber8=0 FlexNumber8Label=tcp.ack FlexNumber9=0 FlexNumber9Label=tcp.psh FlexNumber10=0 FlexNumber10Label=tcp.pertama FlexNumber11=0 FlexNumber11Label=tcp.syn FlexNumber12=0 FlexNumber12Label=tc p.fin DeviceCustomString17= PerangkatCustomString17Label= tcp.state

Di mana:

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan peristiwa (Darurat, Peringatan, Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit);

  • DeviceCustomString1=1831848834213181 - pengidentifikasi internal aliran sistem pencegahan intrusi (sesi);

  • DeviceInboundInterface=seq:Leth8{3 - berisi pengidentifikasi antarmuka masuk;

  • DeviceProcessName=suricata_debug - nama instance sistem pencegahan intrusi;

  • DeviceCustomString5=alert - jenis acara;

  • SourceAddress=192.168.100.17 - alamat IP sumber;

  • DeviceCustomString1=local DeviceCustomString1Label=Src IP Type - jenis alamat IP sumber (local - lokal, external - eksternal);

  • SourcePort=49777 - port sumber;

  • SourceCountry= - nama lokasi sumber;

  • DeviceCustomString2= DeviceCustomString2Label=Src Kode Negara - kode ISO negara sumber;

  • DeviceCustomString3=70977265-245b-44f7-8281-b0e26cae1c46 DeviceCustomString3Label=Sesi Src UUID - pengidentifikasi sesi sumber Ideco NGFW internal;

  • SourceUserID=59 - pengenal pengguna sumber;

  • SourceUserName=192.168.100.17 - nama pengguna sumber;

  • Alamat Tujuan=52.185.211.133 - alamat IP tujuan;

  • DeviceCustomString4=eksternal DeviceCustomString4Label=Jenis IP Dst - jenis alamat IP tujuan (lokal - lokal, eksternal - eksternal);

  • DestinationPort=443 - port tujuan;

  • DestinationCountry=USA - nama lokasi tujuan;

  • DeviceCustomString5=US DeviceCustomString5Label=Kode Negara Pertama - kode ISO negara tujuan;

  • DeviceCustomString6=DeviceCustomString6Label=Sesi pertama UUID - pengidentifikasi internal sesi Ideco NGFW tujuan;

  • DestinationUserID=-1 - pengenal pengguna tujuan;

  • DestinationUserName= - nama pengguna tujuan;

  • TransportProtocol=TCP - protokol;

  • DeviceEventClassID=1006202 - ID aturan sistem pencegahan intrusi;

  • Pesan=Windows Telemetri - pesan dari aturan yang dipicu;

  • DeviceEventCategory=Windows Telemetry - deskripsi kolom di antarmuka web Peristiwa Keamanan;

  • Keparahan=3 - tingkat ancaman, dapat mengambil nilai 1, 2, 3 dan 256, dimana 1 adalah tingkat ancaman tertinggi.

Bidang layanan untuk hasil analisis lalu lintas HTTP. Diisi jika protokol HTTP ditentukan selama analisis lalu lintas:

  • DestinationHostName= - pengidentifikasi host;

  • RequestUrl= - url tujuan permintaan dibuat;

  • RequestClientApplication= - informasi mengidentifikasi klien HTTP.

Alur bidang layanan (sesi):

  • FlexNumber1=3 FlexNumber1Label=Aliran paket ke server - jumlah paket yang dikirimkan dari klien ke server;

  • FlexNumber2=1 FlexNumber2Label=Aliran paket ke klien - jumlah paket yang dikirimkan dari server ke klien;

  • BytesIn=390 - jumlah byte yang ditransfer dari klien ke server;

  • BytesOut=66 - jumlah byte yang ditransfer dari server ke klien;

  • Waktu Mulai=02-04-2024 09:16:22.885262 - mulai;

  • Waktu Berakhir=02-04-2024 09:16:22.887440 - selesai;

  • FlexNumber3=0 FlexNumber3Label=aliran - usia;

  • DeviceCustomString11= DeviceCustomString11Label=flow.state - status saat ini;

  • DeviceCustomString12=DeviceCustomString12Label=flow.reason - apakah IPsec berjalan dalam mode debug;

  • FlexNumber4=0 FlexNumber4Label=flow.alerted - apakah alur peringatan telah dibuat.

Status bendera [Aliran TCP (sesi)](https://ru.wikipedia.org/wiki/Transmission_Control_Protocol#%D0%A4%D0%BB%D0%B0%D0%B3%D0%B8_(%D1% 83% D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D1%8E%D1%89%D0%B8%D0%B5_%D0%B1%D0%B8% D1% 82%D1%8B)):

  • DeviceCustomString14=DeviceCustomString14Label=tcp.tcp_flags - nilai bidang flags di header TCP;

  • DeviceCustomString15= DeviceCustomString15Label=tcp.tcp_flags_ts - tanda stempel waktu;

  • DeviceCustomString16= DeviceCustomString16Label=tcp.tcp_flags_tc - Tanda respons terpotong;

  • FlexNumber5=0 FlexNumber5Label=tcp.cwr 0;

  • FlexNumber6=0 FlexNumber6Label=tcp.ecn 0;

  • FlexNumber7=0 FlexNumber7Label=tcp.urg 0;

  • FlexNumber8=0 FlexNumber8Label=tcp.ack 0;

  • FlexNumber9=0 FlexNumber9Label=tcp.psh 0;

  • FlexNumber10=0 FlexNumber10Label=tcp.pertama 0;

  • FlexNumber11=0 FlexNumber11Label=tcp.syn 0;

  • FlexNumber12=0 FlexNumber12Label=tcp.fin 0;

  • DeviceCustomString17=DeviceCustomString17Label=tcp.state - status sesi TCP.

Firewall
02-04-2024T14:20:01+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712049601 Severity=Peringatan DeviceProcessName=ideco-nflog msg=TCP src 192.168.100.17 olahraga 48300 dst 1.1.1.1 dport 443 tabel Aturan FWD 2 aksi drop

Di mana:

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan kejadian (Darurat, Peringatan', Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit);

  • TCP - protokol, menerima nilai UDP, TCP, ICMP, GRE, ESP dan AH;

  • src - alamat IP sumber;

  • dst - alamat IP tujuan;

  • sport - port sumber untuk UDP dan TCP;

  • dport - port tujuan untuk UDP dan TCP;

  • tabel - tabel aturan di mana pencatatan dilakukan;

  • rule - ID aturan dari tabel;

  • aksi - tindakan yang terjadi.

Kontrol aplikasi
02-04-2024T14:27:57+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712050077 Severity=Pemberitahuan DeviceProcessName=ideco-app-control msg=(flow_info_rules_was_checked) 192.168.100.17:49873 -> 162.159.138.232:443 [Perselisihan]\= 'DROP'.

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan kejadian (Darurat, Peringatan', Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit);

  • flow_info_rules_was_checked - pengidentifikasi proses; *192.168.100.17:49873 - alamat IP sumber;

  • 162.159.138.232:443 [Discord] \= 'DROP' - hasil analisis lalu lintas, di mana [Discord] adalah nama aplikasi yang hasilnya diterapkan. Daftar semua aplikasi.

Filter konten

Melihat log tersedia di antarmuka web di bagian Pemantauan -> Log. Nama layanan pemfilteran: ideco-content-filter-backend dan Squid().

Contoh pemblokiran sumber daya:

03-04-2024T13:00:38+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712131238 Severity=Pemberitahuan DeviceProcessName=squid pesan=192.168.100.17 - - [03 /Apr/2024:13:00:38 +0500] "DAPATKAN https://love.ru/znakomstva/ekaterinburg/ HTTP/1.1" 403 7519 "https://www.google.com/" "Mozilla/5.0 ( Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/123.0.0.0 Safari/537.36" TCP_DENIED:HIER_NONE "Penolakan khusus 8 znakomstva extended.id.23 user.id.3 " "av_name": " -", "av_object_infected": "-", "av_object_size": "-", "av_virus_name": "-"

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan kejadian (Darurat, Peringatan', Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit); *192.168.100.17 - alamat IP pengguna;

  • [03/Apr/2024:13:00:38 +0500] "DAPATKAN https://love.ru/znakomstva/ekaterinburg/ HTTP/1.1":

  • [03/Apr/2024:13:00:38 +0500] - tanggal/waktu acara pemblokiran;

  • DAPATKAN - metode;

  • https://love.ru/znakomstva/ekaterinburg/ - URL sumber daya yang diblokir;

  • HTTP/1.1 - protokol.

  • 403 - kode status HTTP;

  • 7519 - byte yang dikirimkan (sebagai respons, termasuk header HTTP);

  • "https://www.google.com/" - perujuk HTTP;

  • "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/123.0.0.0 Safari/537.36" - sidik jari browser;

  • TCP_DENIED:HIER_NONE - pesan teknis dari squid;

  • "Penolakan khusus 8 znakomstva extended.id.23 user.id.3":

  • Tolak khusus 8 znakomstva - deskripsi dan nomor aturan pemblokiran;

  • extend.id.23 - kategori situs;

  • user.id.3 - nilai kolom Berlaku untuk dalam aturan yang dipicu.

Otentikasi melalui interface web
2024-04-02T14:51:36+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712051496 Severity=Notice DeviceProcessName=fail2ban msg=INFO [utm-web-interface] Found 192.168.100.17 - 2024-04-02 14:51:36
2024-04-02T14:51:36+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712051496 Severity=Warning DeviceProcessName=fail2ban msg=NOTICE [utm-web-interface] Ban 192.168.100.17

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan kejadian (Darurat, Peringatan', Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit);

  • INFO atau PEMBERITAHUAN - prioritas pesan di log dalam bentuk pesan informasi atau pemberitahuan;

  • INFO [utm-web-interface] Ditemukan 192.168.100.17 - 02-04-2024 14:51:36 - fakta deteksi aturan keamanan yang menunjukkan kelompok aturan ([utm-web-interface]), IP alamat dan tanggal/waktu. Daftar grup aturan:

    • utm-tempat merpati;

    • utm-postfix-connrate.conf;

    • utm-postscreen-prgrt.conf;

    • utm-reverse-proxy.conf;

    • utm-roundcube.conf;

    • utm-smtp.conf;

    • utm-ssh.conf;

    • utm-dua-faktor-kode.conf;

    • utm-vpn-authd.conf;

    • utm-web-interface.conf;

    • utm-wireguard-backend.conf.

  • PEMBERITAHUAN [utm-web-interface] Larangan 192.168.100.17 - fakta memblokir atau membuka blokir alamat IP, di mana:

    • Larangan - fakta pemblokiran;

    • Batalkan larangan - fakta membuka blokir.

Koneksi VPN
2024-04-02T14:49:34+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712051374 Severity=Notice DeviceProcessName=ideco-vpn-authd msg=Start vpn authorization ('user',  '192.168.100.17',  'pptp').
2024-04-02T14:49:34+05:00 ideco-ngfw CEF:0|Ideco|NGFW|17.0|0|syslog|0|deviceReceiptTime=1712051374 Severity=Notice DeviceProcessName=ideco-vpn-authd msg=Subnet 10.128.240.8/32 is authorized as user 'user'. Connection made from '192.168.100.17',  type 'pptp'.

  • DeviceReceiptTime - waktu acara di sistem NGFW, mungkin tidak bersamaan dengan waktu penerimaan acara melalui Syslog;

  • Keparahan - tingkat keparahan kejadian (Darurat, Peringatan', Kritis, Kesalahan, Peringatan, Pemberitahuan, Informasi, Debug);

  • DeviceProcessName - nama layanan NGFW (unit);

  • Mulai otorisasi vpn ('pengguna', '192.168.100.17', 'pptp') - fakta permintaan otorisasi dengan informasi tentang koneksi yang diminta, di mana:

  • pengguna - login pengguna; *192.168.100.17 - Alamat IP tempat koneksi dibuat;

  • pptp - protokol.

  • Subnet 10.128.240.8/32 diotorisasi sebagai 'pengguna' pengguna - fakta otorisasi berhasil dengan alamat IP lokal.

Format syslog

Pencegahan Intrusi
192.168.100.2	Dec 14 15:48:38		daemon	warning		timestamp:2022-12-14 10:48:34.808465+00:00,flow_id:1189034483406353,in_iface:seq:Leth1:3:m,sensor_name:suricata_debug,event_type:alert,src_ip:192.168.100.11,src_port:61790,src_country:,src_country_code:,src_session_uuid:7100d1c8-017f-4cbf-8b78-482839300211,src_user_id:2,src_user_name:a.istomina,dest_ip:192.168.100.2,dest_port:53,dest_country:,dest_country_code:,dest_session_uuid:,dest_user_id:-1,dest_user_name:,proto:UDP,alert.signature_id:1003892,alert.signature:Windows Telemetry,alert.category:Telemetry Windows,alert.severity:3,alert.gid:1,alert.action:blocked,http.hostname:,http.url:,http.http_user_agent:,flow.pkts_toserver:1,flow.pkts_toclient:0,flow.bytes_toserver:73,flow.bytes_toclient:0,flow.start:2022-12-14 10:48:34.808465+00:00,flow.end:2022-12-14 10:48:35.580143+00:00,flow.age:0,flow.state:,flow.reason:,flow.alerted:0,tcp.tcp_flags:,tcp.tcp_flags_ts:,tcp.tcp_flags_tc:,tcp.cwr:0,tcp.ecn:0,tcp.urg:0,tcp.ack:0,tcp.psh:0,tcp.rst:0,tcp.syn:0,tcp.fin:0,tcp.state:

Di mana: *192.168.100.2 - alamat IP NGFW pengirim;

  • 14 Des 15:48:38 - waktu menerima acara melalui Syslog;

  • stempel waktu: 14-12-2022 10:48:34.808465+00:00 - waktu kejadian di sistem pencegahan intrusi mungkin tidak bertepatan dengan waktu kejadian diterima melalui Syslog;

  • flow_id: 1189034483406353 - pengidentifikasi internal aliran sistem pencegahan intrusi (sesi);

  • in_iface: seq:Leth1:3:m - berisi pengidentifikasi antarmuka masuk;

  • sensor_name: suricata_debug - nama instance sistem pencegahan intrusi;

  • event_type: alert - jenis acara;

  • src_ip: 192.168.100.11 - alamat IP sumber;

  • src_port: 61790 - port sumber;

  • src_country: - nama lokasi sumber;

  • src_country_code: - Kode ISO negara sumber;

  • src_session_uuid: 7100d1c8-017f-4cbf-8b78-482839300211 - pengidentifikasi sesi sumber Ideco NGFW internal;

  • src_user_id: 2 - pengenal pengguna sumber;

  • src_user_name: a.istomina - nama pengguna sumber;

  • dest_ip: 192.168.100.2 - alamat IP tujuan;

  • pelabuhan_tujuan: 53 - pelabuhan tujuan;

  • negara_tujuan: - nama lokasi tujuan;

  • kode_negara_tujuan: - Kode ISO negara tujuan;

  • dest_session_uuid: - pengidentifikasi internal sesi Ideco NGFW tujuan;

  • dest_user_id: -1 - pengenal pengguna tujuan;

  • nama_pengguna_tujuan: ​​- nama pengguna tujuan;

  • proto: UDP - protokol;

  • alert.signature_id: 1003892 - ID aturan sistem pencegahan intrusi;

  • alert.signature: Windows Telemetry - pesan dari aturan yang dipicu;

  • alert.category: Telemetri Windows - ​​​​deskripsi kolom di antarmuka web Peristiwa Keamanan; Korespondensi alert.category: -> alert.signature dijelaskan dalam file.

  • alert.severity: 3 - tingkat ancaman, dapat mengambil nilai 1, 2, 3 dan 256, dimana 1 adalah tingkat ancaman tertinggi.

Bidang layanan untuk hasil analisis lalu lintas HTTP. Diisi jika protokol HTTP ditentukan selama analisis lalu lintas:

  • http.nama host: ​​- pengidentifikasi host;

  • http.url: - url tujuan permintaan dibuat;

  • http.http_user_agent: - informasi mengidentifikasi klien HTTP.

Alur bidang layanan (sesi):

  • flow.pkts_toserver:1 - jumlah paket yang ditransfer dari klien ke server;

  • flow.pkts_toclient: 0 - jumlah paket yang ditransfer dari server ke klien;

  • flow.bytes_toserver: 73 - jumlah byte yang ditransfer dari klien ke server;

  • flow.bytes_toclient: 0 - jumlah byte yang ditransfer dari server ke klien;

  • flow.start: 14-12-2022 10:48:34.808465+00:00 - mulai;

  • flow.end: 14-12-2022 10:48:35.580143+00:00 - selesai;

  • aliran.usia: 0 - usia;

  • flow.state: - keadaan saat ini;

  • flow.reason: - apakah IPsec berjalan dalam mode debug;

  • flow.alerted: 0 - apakah aliran peringatan telah dibuat.

Status bendera [Aliran TCP (sesi)](https://ru.wikipedia.org/wiki/Transmission_Control_Protocol#%D0%A4%D0%BB%D0%B0%D0%B3%D0%B8_(%D1% 83% D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D1%8E%D1%89%D0%B8%D0%B5_%D0%B1%D0%B8% D1% 82%D1%8B)):

Firewall
24 Nov 09:36:27 ideco-ngfw ideco-nflog[691]: ​​​​UDP src 192.168.100.12 sport 137 dst 40.125.122.151 dport 137 tabel Aturan FWD 1 tindakan diterima

  • UDP - protokol, menerima nilai UDP, TCP, ICMP, GRE, ESP dan AH;

  • src - alamat IP sumber;

  • dst - alamat IP tujuan;

  • sport - port sumber untuk UDP dan TCP;

  • dport - port tujuan untuk UDP dan TCP;

  • tabel - tabel aturan di mana pencatatan dilakukan;

  • rule - ID aturan dari tabel rule;

  • aksi - tindakan yang terjadi.

Kontrol aplikasi
192.168.100.2 12 Januari 11:00:15 1 pengguna salah 12-01-2023T11:00:14+05:00 kontrol aplikasi ideco-ngfw 2027 - - (flow_info_rules_was_checked) 192.168.100.11:52514 -> 192.168.100 .2 :53 [Amazon] = 'DROP'.

  • 2027 - pengidentifikasi proses; *192.168.100.11:52514 - alamat IP sumber;

  • 192.168.100.2:53 [Amazon] = 'DROP' - hasil analisis lalu lintas, dengan [Amazon] adalah nama aplikasi yang hasilnya diterapkan. Daftar semua aplikasi.

Filter konten

Melihat log tersedia di antarmuka web di bagian Pemantauan -> Log. Nama layanan pemfilteran: ideco-content-filter-backend dan Squid.

Contoh pemblokiran sumber daya:

192.168.101.130    Mar 31 14:56:57    1    daemon    info        2023-03-31T14:56:56+05:00 ideco-ngfw squid 5950 - - 192.168.101.131 - - [31/Mar/2023:14:56:56 +0500] "GET https://www.igromania.ru/? HTTP/1.1" 403 7455 "https://yandex.ru/" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0" TCP_DENIED:HIER_NONE "Custom deny 8 game extended.id.21 group.id.1 "

  • 5950 - pengidentifikasi proses; *192.168.101.131 - alamat IP pengguna;

  • [31/Mar/2023:14:56:56 +0500] "DAPATKAN https://www.igromania.ru/? HTTP/1.1:

  • [31/Mar/2023:14:56:56 +0500] - tanggal/waktu acara pemblokiran;

  • DAPATKAN - metode;

  • https://www.igromania.ru/? - URL sumber daya yang diblokir;

  • HTTP/1.1 - protokol.

  • 403 - kode status HTTP;

  • 7455 - byte yang dikirimkan (sebagai respons, termasuk header HTTP);

  • https://yandex.ru/ - perujuk HTTP;

  • Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0 - sidik jari browser;

  • TCP_DENIED:HIER_NONE - pesan teknis dari squid;

  • Custom reject 8 Games extended.id.21 group.id.1:

  • Tolak khusus 8 Game - deskripsi dan nomor aturan pemblokiran;

  • extend.id.21 - kategori situs;

  • group.id.1 - nilai bidang Diterapkan ke dalam aturan yang dipicu.

Otentikasi melalui antarmuka web
192.168.100.2	Jan 12 11:02:15	1	daemon	info		2023-01-12T11:02:14+05:00 ideco-ngfw fail2ban.filter 779 - - INFO [utm-web-interface] Found 192.168.100.1 - 2023-01-12 11:02:14 
192.168.100.2	Jan 12 11:02:36	1	daemon	notice		2023-01-12T11:02:35+05:00 ideco-ngfw fail2ban.actions 779 - - NOTICE [utm-web-interface] Ban 192.168.100.1

  • info atau pemberitahuan - prioritas pesan dalam log dalam bentuk pesan informasi atau pemberitahuan;

  • 779 - pengidentifikasi proses;

  • INFO [utm-web-interface] Ditemukan 192.168.100.1 - 12-01-2023 11:02:14 - fakta deteksi aturan keamanan yang menunjukkan kelompok aturan ([utm-web-interface]) , alamat IP dan tanggal/waktu. Daftar grup aturan:

    • utm-dovecot;

    • utm-postfix-connrate.conf;

    • utm-postscreen-prgrt.conf;

    • utm-reverse-proxy.conf;

    • utm-roundcube.conf;

    • utm-smtp.conf;

    • utm-ssh.conf;

    • utm-two-factor-codes.conf;

    • utm-vpn-authd.conf;

    • utm-web-interface.conf;

    • utm-wireguard-backend.conf. *PEMBERITAHUAN [utm-web-interface] Larangan 192.168.100.1 - fakta memblokir atau membuka blokir alamat IP, di mana:

  • Larangan - fakta pemblokiran;

  • Batalkan larangan - fakta membuka blokir.

Koneksi VPN
192.168.100.2 12 Jan 11:10:06 1 info lokal0 12-01-2023T11:10:05+05:00 ideco-ngfw ideco-vpn-authd 1356 - - Mulai otorisasi vpn ('user_1', '192.168.100.11' , 'pptp').
192.168.100.2 12 Jan 11:10:06 1 info lokal0 12-01-2023T11:10:05+05:00 ideco-ngfw ideco-vpn-authd 1356 - - Subnet 10.128.187.17/32 diotorisasi sebagai pengguna 'user_1' . Koneksi dibuat dari '192.168.100.11', ketik 'pptp'.

  • 1356 - pengidentifikasi proses;

  • Mulai otorisasi vpn('user_1', '192.168.100.11', 'pptp') - fakta permintaan otorisasi dengan informasi tentang koneksi yang diminta, di mana:

  • pengguna_1 - login pengguna;

  • 192.168.100.11 - Alamat IP tempat koneksi dibuat;

  • pptp - protokol.

  • Subnet 10.128.187.17/32 - fakta otorisasi berhasil dengan alamat IP lokal.

Otorisasi web
192.168.100.2 12 Jan 11:20:06 1 info lokal0 12-01-2023T11:20:05+05:00 ideco-ngfw ideco-web-authd 1665 - - Subnet 192.168.100.10/32 diotorisasi sebagai 'pengguna' pengguna . Koneksi dibuat dari Tidak Ada, ketik 'web'

  • 1665 - pengidentifikasi proses;

  • 192.168.100.10/32 - alamat IP pengguna;

  • pengguna - login pengguna;

  • ketik 'web' - jenis otorisasi web.

Otorisasi berdasarkan IP
192.168.100.2 12 Jan 11:20:06 1 info lokal0 12-01-2023T11:20:05+05:00 ideco-ngfw ideco-web-authd 1665 - - Subnet 192.168.100.49/32 diotorisasi sebagai pengguna 'pengguna- 1717140295.828113'. Koneksi dibuat dari Tidak Ada, ketik 'ip_permanent'.

  • 1665 - pengidentifikasi proses; *192.168.100.49/32 - alamat IP pengguna;

  • 'pengguna-1717140295.828113' - login pengguna;

  • ketik 'ip_permanent' - jenis otorisasi IP dengan otorisasi permanen.

Otorisasi oleh MAC
192.168.100.2 12 Jan 11:20:06 1 info lokal0 12-01-2023T11:20:05+05:00 ideco-ngfw ideco-auth-backend 3660 - - Subnet 192.168.100.10/32 diotorisasi sebagai 'pengguna' pengguna . Koneksi dibuat dari Tidak Ada, ketik 'mac'.

  • 3660 - pengidentifikasi proses;

  • 192.168.100.10/32 - alamat IP pengguna;

  • pengguna - login pengguna;

  • ketik 'mac' - jenis otorisasi MAC.

Otorisasi berdasarkan subnet
192.168.100.2 12 Jan 11:20:06 1 info lokal0 12-01-2023T11:20:05+05:00 ideco-ngfw ideco-auth-backend 3660 - - Subnet 192.168.100.0/24 diotorisasi sebagai 'pengguna' pengguna . Koneksi dibuat dari Tidak Ada, ketik 'net'.

  • 3660 - pengidentifikasi proses; *192.168.100.0/24 - subnet pengguna;

  • pengguna - login pengguna;

  • ketik 'net' - jenis otorisasi subnet.

PreviousPerancang laporanNextPengaturan server

Last updated