13. Просмотр системных событий
В этой главе показано, как просматривать системные события - полезный
источник информации о работе межсетевого экрана, полезный для обнаружения
возможных атак и ошибок в настройках.
Что такое системные события ?
Событиями являются сообщения межсетевого экрана более высокого уровня,
т.е. не связанные напрямую с пакетами (как в случае статистики). К событиям
относятся сообщения, которые генерируются одним из трех главных модулей
(пакетным фильтром, транслятором сетевых адресов или модулем шифрования/аутентификации)
или каким-либо другим компонентом межсетевого экрана, таким, например,
как proxy сервер или каким-нибудь процессом ( при выполнении специфических
задач).
При этом генерируются сообщения с различными уровнями важности, начиная
от полезной для контроля функционирования системы информации (например, сообщения
о рестарте машины или об установлении сеанса администрирования межсетевого
экрана), до информации об ошибках в при выполнении или в настройках.
Что такое фильтр событий ?
Чаще всего необходимо просмотреть выборку по определенному множеству событий,
а не всю собираемую информацию(например, если Вы хотите просмотреть все
вчерашние сообщения). Фильтр событий является одним из механизмов межсетевого
экрана Aker, позволяющий описать и просмотреть только необходимое Вам подмножество
информации.
Фильтр разрешает только просматривать записанную в файле событий
информацию. Для получения более специфической информации необходимо сначала
настроить систему для ее сбора, а затем использовать фильтр для ее просмотра.
13.1 Использование графического интерфейса пользователя
Для доступа к окну просмотра событий нужно выполнить следующие действия:
- Выбрать меню Просмотр в главном окне Выбрать опцию События
Окно фильтрации событий
При выборе опции События автоматически высвечивается окноФильтрация
событий window is automatically displayed. Это окно позволяет выбрать
используемый для просмотра фильтр. Оно имеет следующий формат:
По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы
увидеть сообщения за другие дни, необходимо настроить поля Начальная
дата и Конечная дата, описав с их помощью интересующий Вас диапазон
(он будет содержать сообщения от начальной до конечной даты включительно).
Кроме этих полей, существуют и другие опции, которые можно применять
в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра
информации:
Приоритет:
Различные типы сообщений имеют различные приоритеты. Высший приоритет
присваивается наиболее важным из них. В приведенном ниже списке описываются
все возможные приоритеты в порядке убывания их важности. (Если межсетевой
экран настроен для посылки копии данных регистрации через syslog, то будут
генерироваться сообщения с указанными ниже приоритетами.):
! При задании
конкретного приоритета на экране будут показаны сообщения только с этим
приоритетом.
- Any
- Будут показаны сообщения с любым приоритетом
- Error
- Сообщения с таким приоритетом содержат информацию о какой-либо ошибке
в конфигурации или действиях системы (например, отказ памяти). Сообщения
с таким приоритетом достаточно редки и на них следует реагировать как можно
быстрее.
- Warning
- Сообщения с таким приоритетом свидетельствуют о возникновении серьезных
нештатных ситуаций (например, во время установления сеанса удаленного администрирования
возникла ошибка авторизации пользователя).
- Notice
- Этот приоритет включает сообщения, в которых содержится информация,
важная для системного администратора, но при этом не выходящая за рамки
нормального процесса функционирования (например, администратор начал сеанс
удаленного администрирования).
- Information
- Сообщения с этим приоритетом содержат полезную информацию, но не столь
важную для администрирования межсетевого экрана, как предыдущие (например,
закончился сеанс удаленного администрирования).
- Debug
- Сообщения с этим приоритетом не содержат важной информации, кроме необходимой
для аудита. Сюда относятся, например, сообщения, которые генерируются модулем
удаленного администрирования при каждой сделанной модификации в конфигурации
межсетевого экрана или при его рестарте.
Модуль:
Эта опция позволяет увидеть сообщения, которые генерируются каким-либо
из трех главных модулей системы или любым внешним сервером. При выборе
конкретного модуля будут показаны только относящиеся к нему сообщения.
Кнопка OK накладывает описанный фильтр и открывает окно событий
с выборкой соответствующей фильтру информации.
Кнопка Cancel отменяет операцию фильтрации и в полях окна событий
появляется предыдущая информация. Кнопка Help выводит окно подсказки
по данному разделу.
Окно событий
Окно событий открывается после наложения нового фильтра. Оно состоит
из списка сообщений. Обычно каждая строка списка соответствует отдельному
сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений
рассмотрен в следующем разделе.
Важные замечания:
 |
Одновременно выводится 100 сообщений. |
|
На экран можно вывести только первые 10.000 сообщений, соответствующих
данному фильтру. Другие сообщения можно увидеть, записав их в файл или
используя другой фильтр для вывода меньшего числа сообщений. |
|
Слева от каждого сообщения показан цветной значок, обозначающий его приоритет.
Цвета имеют следующие значения: |
Синий
Debug
Зеленый
Information
Желтый
Notice
Красный
Warning
Черный Error
|
Если нажать левую клавишу мыши на сообщении, в нижней части окна появится
строка с дополнительной информацией о нем. |
Значения кнопок в окне событий
|
Кнопка OK закрывает окно событий. |
|
Кнопка Refresh активизирует автоматическое обновление выводимой
информации. При первом нажатии эта функция активизируется, про следующем
она отменяется. Интервал обновления можно настроить в поле Automatic
refresh . |
|
Кнопка Filter открывает окно фильтрации событий, описанное выше.
Это позволяет организовать новый просмотр. |
|
Кнопка Erase All позволяет удалить все содержимое файла событий.
Если нажать эту кнопку, откроется следующее окно: |
Нажмите Yes чтобы стереть все события или No для отказа
от операции.
! При стирании
содержимого файла событий восстановить его можно только с резервной копии.
|
Кнопка Compact уплотняет файл событий. При этом удаляются все события
старше времени жизни статистики (см. главу Настройка
параметров системы ), что позволяет реорганизовать файл событий и улучшить
время доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому
во время его выполнения невозможно просматривать события. |
Если нажать эту кнопку, откроется следующее окно:
|
Кнопка Save сохраняет всю выделенную информацию в ASCII файле. Файл
состоит из различных строк с тем же содержанием, что показано в окне. |
Эта опция очень полезна для отправки копии событий другому лицу или
для сохранения копии некоторых важных данных в текстовом формате. Если
нажать эту кнопку, появится следующее окно:
Для экспортирования сообщений о событиях, введите имя создаваемого
файла и нажмите кнопку Save, для отмены операции нажмите кнопку
Cancel.
!
Если существует файл с таким же именем, он будет переписан.
|
Кнопка Next 100>>>> позволяет вывести 100 следующих сообщений. Если
они отсутствуют, опция будет недоступна. |
|
Кнопка <<Last 100 позволяет позволяет вывести 100 предыдущих
сообщений. Если больше сообщений нет, опция будет недоступна. |
|
Кнопка Help открывает окно помощи по окну просмотра событий. |
13.2 Формат и значения полей сообщений о событиях
Ниже описан формат сообщений и приводится описание их полей. Полный список
всех возможных сообщений и их значений содержится в Приложении
А.
Формат записи:
<Date> <Time> <Message> [(Complement)]
[<Additional Data>]
Описание полей:
Date: Дата генерации записи.
Time: Время генерации записи.
Message: Текстовое сообщения, описывающее событие
(Complement): Это поле вносит некоторую дополнительную информацию
и может присутствовать или нет, что зависит от характера сообщения. Если
оно присутствует, то указывается в скобках.
Additional data: Информация в этом поле связана с сообщениями
от proxy серверов. Она всегда появляются в строке под соответствующим сообщением.
Она содержит адрес источника соединения и, в случае прозрачного proxy сервера,
адрес назначения.
Примеры:
02/26/1998 13:27:11 Aker Firewall v3.0 - Initialization complete
02/26/1998 13:30:32 Telnet session established (user)
Source: 10.2.1.12 - Destination: 192.168.0.3
02/26/1998 12:48:23 Administrative session confirmation error (administrator)
02/26/1998 12:48:23 Administrative connection request (10.4.1.14)
13.3 Использование интерфейса командной строки
Интерфейс командной строки для просмотра событий обладает теми же возможностями,
что и графический интерфейс. Доступны все его функции за исключением опции
фильтрации для модуля; кроме того, интерфейс командной строки не показывает
дополнительную информацию, которую выводит на дисплей графический интерфейс
при выделении сообщения о событии.
Интерфейс командной строки для просмотра событий - это та же программа,
что используется для просмотра статистики. Она рассмотрена в предыдущей
главе.
Путь к программе: /etc/firewall/fwlog
Синтаксис:
fwlog help
fwlog [compact | clear] [log | events]
fwlog show [log | events] <begin_date <end_date [priority]
Program help:
Aker Firewall - Version 3.0
fwlog - интерфейс командной строки для просмотра статистики и событий
Использование: fwlog help
fwlog [compact | clear] [log | events]
fwlog show [log | events] <begin_date> <end_date> [priority]
show = показывает содержимое файла статистики или событий
clear = очищает файлы статистики им событий от записей
compact = уплотняет файл статистики или событий
help = показывает данное сообщение
Для команд compact / clear / show :
log = действие выполняется с файлом статистики
events = действие выполняется с файлом событий
Для команды show:
begin_date = дата, начиная с которой будут показаны записи
end_date = дата, по которую будут показаны записи
(даты должны иметь формат mm/dd/yyyy)
priority = необязательный аргумент. Если он задан, он может принимать
следующие значения: ERROR, WARNING, NOTICE, INFORMATION
или DEBUG.(Если приоритет задан, будут показаны
записи только с этим приоритетом)
Пример 1: (просмотр событий с 03/07/1998 по 03/08/1998)
#fwlog show events 03/07/1998 03/08/1998
03/08/1998 11:39:35 Administrative session closed
03/08/1998 09:13:09 Administrative session established (administrator, CF CL MU)
03/08/1998 09:13:09 Administrative session request (10.4.1.14)
03/08/1998 09:09:49 Operation on the log file (Compact)
03/07/1998 10:27:11 Aker Firewall v3.0 - Initialization complete
03/07/1998 08:57:11 UDP translation table full
Пример 2: (Просмотр событий с 03/07/ 1998 по 03.08.1998 с приоритетом
debug)
#fwlog show events 03/07/1998 03/08/1998 debug
03/08/1998 09:09:49 Operation on the log file (Compact)
03/07/1998 10:27:11 Aker Firewall v3.0 - Initialization complete
Пример 3: (Очистка содержимого файла событий)
#fwlog clear events
Назад | Содержание | Вперед