Отчёты и журналы

При работе с устройством необходимо получать информацию о его состоянии и работоспособности. Данную возможность предоставляет пользователю подсистема журналирования.

Благодаря записям в журналах можно узнать о произошедшем инциденте и провести его расследование. Журналы отображают статус работы служб, помогают найти ошибки в их работе. За функционирование журналирования отвечают службы:

syslog-ng - основная служба логирования событий. Должна быть активна чтоб логирование служб производилось.
rtt-filter-log - служба логирования трафика. Должна быть активна чтоб трафик попадал в статистику и отображался в разделе Межсетевой экран - Файлы журнала - Прямая трансляция

Настройки журналирования

Настройки журналирования (Система - Настройки - Журналирование) позволяют настроить параметры, соответствующие таблице.

Настраиваемые параметры
Наименование параметра	Описание
Максимальный размер системных файлов журнала	Позволяет настроить размер системных файлов журнала
Кол-во архивных файлов журналов системы	Максимальное кол-во хранимых журналов системы. Текущий журнал помещается в архив после достижения максимального размера
Максимальный размер файлов журнала фильтра	Позволяет настроить размер файлов журнала фильтра
Кол-во архивных файлов журнала фильтра	Максимальное кол-во хранимых журналов фильтра. Текущий журнал помещается в архив после достижения максимального размера
Отключить сжатие	Сжатие позволяет сократить количество использованного журналами места на диске
Уведомление о переполнении журнала	Активировать появление уведомления при достижении максимального размера файла журнала
Количество циклов затирания журналов	После удаления, файлы журналов перезапишутся случайным содержимым указанное количество раз
Удалить журналы	Удаление журналов

Сохранение логов на внешний накопитель

В системе предусмотрена возможность сохранения логов на внешний накопитель.

Для того, чтобы сохранить на внешний накопитель необходимо подключить его к устройству, затем зайти на страницу Система - Настройки - Журналирование, выбрать его в выпадающем списке и нажать кнопку Сохранить на USB/MMC

После подтверждения операции появится индикатор на верхней панели, сигнализирующий о процессе копирования логов. Когда он загорится зелёным - копирование завершилось и внешний накопитель можно отключить.

Сетевой сервис логирования ядра

Если в работе устройства произошёл критический сбой на уровне ядра операционной системы (kernel panic), то устройство будет вынуждено экстренно завершить работу. Для мониторинга таких сбоев предусмотрен Сетевой сервис логирования ядра. Он позволяет настроить отправку сообщений о критических сбоях на внешний сервер.

Настраиваемые параметры
Наименование параметра	Описание
Настройки отправителя	Позволяет задать интерфейс, с которого будет отправлено сообщение и номер порта отправителя
IP-адрес	IP-адрес устройства, на которое будут отправляться сообщения
Порт	Номер порта получателя
MAC-адрес	MAC-адрес устройства, на которое будут отправляться сообщения

Сохранение журналов на удаленном сервере

Доступно сохранение журналов на удаленном сервере (Система - Настройки - Экспорт журналов).

Для создания нового пункта назначения необходимо нажать кнопку «Добавить» add .

В появившемся окне есть возможность указать следующие данные, представленные в таблице.

Настраиваемые данные
Наименование	Описание
Включен	Включить пункт назначения
Транспортный протокол	Используемый транспортный протокол: UDP или TCP
Файлы журнала	Отправляемые журналы
Имя хоста	Адрес, куда будут отправляться журналы
Порт	Используемый порт
Описание	Описание созданного пункта назначения

Доступные для экспорта журналы
Наименование	Описание
Межсетевой экран	Журналы раздела Межсетевой экран - Файлы журнала
Система	Журналы раздела Система - Файлы журнала - Ошибки системы
WebGUI	Журналы раздела Система - Файлы журнала - Web-интерфейс
Аутентификация	Журналы раздела Система - Файлы журнала - Аутентификация
Прокси сервер	Журналы раздела Службы - Веб-прокси

Далее необходимо нажать кнопку Сохранить и Применить.

После применения настроек журналы будут отправляться на указанный адрес.

Журналы, доступные в Веб-интерфейсе устройства

В Веб-интерфейсе устройства есть несколько разделов, отображающих журнал событий определённого модуля:

Система - Шлюзы - Журнал - лог изменения настроек Шлюзов
Система - Файлы журнала - Общий журнал - общий журнал, куда попадает большая часть сообщений.
Система - Файлы журнала - Ошибки системы
- Ядро - сообщения ядра, важные сообщения при загрузке системы и «kernel panic» при критических сбоях
- Службы - сообщения системных служб
Система - Файлы журнала - Аутентификация
- Система - лог всех операций, в ходе которых была авторизация или повышение прав
- Web - лог авторизаций через Веб-интерфейс
Система - Файлы журнала - Web-интерфейс
- Предупреждения
- Ошибки Web-сервера
- Информация о Web-сервере
- Аудит
Межсетевой экран - Файлы журнала - Прямая трансляция - отображение пакетов, обработанных устройством в режиме реального времени.
Межсетевой экран - Файлы журнала - Обзор - статистические данные по трафику, обработанному устройством
Маршрутизация - Диагностика - Журналирование
- RIP/OSPF - журнал протоколов динамической маршрутизации RIP/OSPF
- BGP - журнал протокола динамической маршрутизации BGP
- BFD - журнал протокола BFD
Службы - Обнаружение вторжений - Журнал - журнал модуля обнаружения вторжений (IDS/IPS)
- Журнал службы
- Ошибки службы
Службы - Мониторинг служб - Файлы журнала - журнал событий, которые поставлены на мониторинг в настройках Мониторинга служб
Службы - Сетевое время - Журнал - журнал событий службы синхронизации сетевого времени
Службы - Веб-прокси - Журнал службы - журнал работы Веб-прокси сервера
Службы - Веб-прокси - Журнал доступа - журнал обработанных Веб-прокси запросов
Службы - Веб-прокси - Журнал кэша - журнал кэшированных Веб-прокси ресурсов
Службы - DHCPv4 - Журнал - журнал службы DHCPv4
Службы - DHCPv6 - Журнал - журнал службы DHCPv6
Кластеризация - Журнал - журнал службы Кластрезация

Элементы управления Веб-интерфейсом журнала

Лог в Веб-интерфейсе представлен в виде таблицы. При необходимости пользователь может произвести поиск по журналу, установить количество выводимых на экран строк или скрыть ненужные столбцы.

В некоторых разделах, например, в Система - Файлы журнала - Аутентификация - WEB и Система - Файлы журнала - Web-интерфейс - Аудит есть возможность фильтровать сообщения по их типу.

Варианты фильтрации в Система - Файлы журнала - Аутентификация - WEB:

Ничего не выбрано - отобразить все сообщения
Success login - отобразить успешные авторизации
Failed login - отобразить неуспешные авторизации

Варианты фильтрации в Система - Файлы журнала - Web-интерфейс - Аудит:

Ничего не выбрано - отобразить все сообщения
Password change - смена пароля пользователя
User saved - редактирование пользователя
Edit/Add NAT rule - редактирование или добавление правил сетевой трансляции (NAT)
Edit/Add FW rule - редактирование или добавление правил фильтрации

Журналы межсетевого экрана

Журнал межсетевого экрана находится в разделе Межсетевой экран - Файлы журнала - Прямая трансляция

Информация, содержащаяся в журналах межсетевого экрана
Наименование колонки	Описание
Интерфейс	Наименование интерфейса, на котором произошло срабатывание правила
Время	Время срабатывания правила
Отправитель	Адрес отправителя
Получатель	Адрес получателя
Протокол	Используемый протокол
Метка	Подсказка, используемая в правиле

При нажатии на кнопку информации , можно получить подробную информацию о сработавшем правиле.

../../../_images/ten2.png — Подробная информация о сработавшем правиле

Для сортировки записей необходимо выбрать критерий и нажать на кнопку «Добавить» plus .

../../../_images/twelve.png — Выбор необходимого критерия сортировки

Есть возможность включить или остановить автообновление журнала с помощью кнопки и выбрать количество записей, выводимых одновременно.

../../../_images/fourteen.png — Выбор количества записей

Для обновления журнала необходимо нажать на кнопку «Обновить» update_icon .

Просмотр статистики на вкладке «Обзор»

С помощью журналов во вкладке Межсетевой экран - Файлы журнала - Обзор можно посмотреть статистические диаграммы по обработанному трафику.

Перечень доступных диаграмм приведён в таблице.

Доступные атрибуты диаграммы
Название атрибута
Действия
Интерфейсы
Протоколы
IP-адреса источника
IP-адреса назначения
Порты источника
Порты назначения

Диаграмма представлена на рисунке

../../../_images/sixteen1.png — Диаграмма

в случае необходимости можно перестроить данную диаграмму, исключив ненужные данные.

Для исключения данных необходимо нажать на их кружок.

../../../_images/seventeen.png — Исключение данных

Отображение событий при помощи всплывающих сообщений

В системе предусмотрено предупреждение в режиме реального времени при помощи всплывающих уведомлений. В разных модулях эта функция активируется независимо от других модулей.

Например, в модуле СОВ (IDS/IPS):

Результат работы оповещения при помощи всплывающих сообщений:

Важно

В модуле Межсетевой экран всплывающие уведомления настраиваются через функционал раздела Межсетевой экран - Категории

Описание сообщений в журналах

В журналы попадает большое количество диагностических сообщений. Эти сообщения либо сигнализируют о выполненных дейтсвиях, либо об ошибках в процессе выполнения. Ниже в таблице приведены наиболее часто встречаемые сообщения и их значение.

События доступа к различным разделам журналирования
Параметр	Описание параметра
LOG access action: User «Пользователь» has accessed gateways log page	Переход пользователем в раздел журналирования Система - Маршруты - Статус
LOG access action: User «Пользователь» has accessed auth log page	Переход пользователем в раздел журналирования Система - Файлы журнала - Аутентификация
LOG access action: User «Пользователь» has accessed system log page	Переход пользователем в раздел журналирования Система - Файлы журнала - Общий журнал
LOG access action: User «Пользователь» has accessed kernel log page	Переход пользователем в раздел журналирования Система - Файлы журнала - Ошибки системы
LOG access action: User «Пользователь» has accessed firewall log page	Переход пользователем в раздел журналирования Межсетевой экран - Файлы журнала
LOG access action: User «Пользователь» has accessed ntpd log page	Переход пользователем в раздел журналирования Службы - Сетевое время - Журнал
LOG access action: User «Пользователь» has accessed unbound log page	Переход пользователем в раздел журналирования Службы - DNS - Журнал
LOG access action: User «Пользователь» has accessed cache log page	Переход пользователем в раздел журналирования Службы - Веб-прокси - Журнал кэша
LOG access action: User «Пользователь» has accessed access log page	Переход пользователем в раздел журналирования Службы - Веб-прокси - Журнал доступа
LOG access action: User «Пользователь» has accessed store log page	Переход пользователем в раздел журналирования Службы - Веб-прокси - Store Log
LOG access action: User «Пользователь» has accessed dhcpd log page	Переход пользователем в раздел журналирования Службы - DHCPv4 - Журнал
LOG access action: User «Пользователь» has accessed dhcpd6 log page	Переход пользователем в раздел журналирования Службы - DHCPv6 - Журнал
LOG access action: User «Пользователь» has accessed ha log page	Переход пользователем в раздел журналирования Кластеризация - Журнал
LOG access action: User «Пользователь» has accessed suricata log page	Переход пользователем в раздел журналирования Службы - Обнаружение вторжений - Журнал

События конфигурации пользователей системы **Система - Файлы журнала - Web-интерфейс**
Параметр	Описание параметра
Users MNG. action: User «Admin» has changed password of user «User_1»	Создание новой учетной записи пользователя
Users MNG. action: User «Admin» has changed password of user «User_1»	Добавление/Изменение пароля учетной записи пользователя
Users MNG. action: User «Admin» has saved user «User_1»	Добавление/cохранение конфигурации учетной записи пользователя
Users MNG. action: User «Admin» has modified priviliges of user «User»	Изменение привилегий пользователя

syslog-ng - журнал **Службы журналирования**
Параметр	Описание параметра
stopping rtt-syslog-ng	Остановка службы журналирования
syslog-ng starting up	Запуск службы журналирования
Show log	Просмотр лога

Журналирование **состояния линков**
Параметр	Описание параметра
baikal-gmac-dwmac 30250000.ethernet: fix_mac_speed new speed	Согласование параметров линка
baikal-gmac-dwmac 30250000.ethernet: setting TX2 clock frequency to	Согласование параметров линка
baikal-gmac-dwmac 30250000.ethernet end1: Link is Up - 1Gbps/Full - flow control rx/tx	Переход линка в состояние Up
baikal-gmac-dwmac 30250000.ethernet end1: Link is Down	Переход линка в состояние Down

События модуля **Система - Доступ - Сервис Captive portal**
Параметр	Описание параметра
Starting AAA background process	Успешный запуск службы Captive Portal
Error initialize AAA background process	Ошибка при запуске Captive Portal
AAA process successfully stopped action: User «Admin» system.aaa	Успешная остановка службы Captive Portal
AUTH REQUEST qaz (10.0.0.2) zone 0	Запрос на авторизацию через Captive Portal
AUTH OK. ADD USER qaz (10.0.0.2) zone 0	Успешная авторизация через Captive Portal
DENY qaz (10.0.0.4) zone 0 -	Неудачная попытка авторизации через Captive Portal
LOGOUT REQUEST qaz (10.0.0.2) zone	Запрос на выход из пользователя Captive Portal
LOGOUT OK. REMOVE USER qaz sessionId UKXoVkIo5XJXUkblA8X9Dw== (10.0.0.2) zone 0	Запрос на авторизацию через Captive Portal
Administration LOGOUT qaz (10.0.0.5) zone 0	Завершение сессии через Captive Portal через веб-интерфейс Администратором
mac address changed for username qaz session zBpOqE4Dca+Jz2mN2k64XQ==	Завершение сессии из-за смены мак-адреса
edit/add aaa account record	Сохранение настроек пользователя Captive Portal
list all entered users in DB with where statement	Просмотр вкладки «Аккаунты» Captive Portal
list registered clients	Просмотр вкладки «Статистические данные» Captive Portal
status captiveaaa service	Проверка статуса службы Captive Portal

События модуля **Система - Конфигурация - История изменений**
Параметр	Описание параметра
config-event: new_config /conf/backup/config-1723708703,6242.xml	Сохранение файла конфигурации

События модуля **Система - Программное обеспечение**
Параметр	Описание параметра
Retrieve firmware verification code	Обновление информации на вкладке «Статус»
Retrieve changelog index	Обновление информации на вкладке «Статус»
Retrieve firmware product info	Обновление информации на вкладке «Статус»
new repo action	«Проверить наличие обновлений» на вкладке «Статус»
Retrieve firmware update status	«Проверить наличие обновлений» на вкладке «Статус»
[firmware.check] returned OK	«Проверить наличие обновлений» на вкладке «Статус»
Retrieve upgrade progress status	«Проверить наличие обновлений» на вкладке «Статус»

События модуля **Система - Шлюзы - Одиночный**
Параметр	Описание параметра
ROUTING: entering configure using defaults	Применение настроек шлюза
ROUTING: IPv4 default gateway set to	Применение настроек шлюза
ROUTING: setting IPv4 default route to	Применение настроек шлюза

События модуля **Система - Маршруты**
Параметр	Описание параметра
list gateways	Просмотр маршрутов
Reconfiguring routing	Изменение/добавление маршрута
show system routing table	Просмотр информации на вкладке Система - Маршруты - Статус
Remove route	Удаление маршрута на вкладе Система - Маршруты - Статус

События модуля **Система - Настройки - Администрирование**
Параметр	Описание параметра
NET-SNMP version 5.9.4.pre2 AgentX subagent connected	Включение SNMP-сервера
[snmpd.restart] returned OK	Включение SNMP-сервера

События модуля **Система - Настройки - Общие настройки**
Параметр	Описание параметра
write hosts file	Применение имени хоста
set new symlink to timezone	Применение настроек часового пояса
Writing ethtool combined cores	Применение Аппаратного контроля пропускной способности
Writing ethtool buffer size	Применение Аппаратного контроля пропускной способности

События модуля **Интерфейсы**
Параметр	Описание параметра
www-data : PWD=/usr/local/www ; USER=root ; COMMAND=/sbin/ip link set dev end1 down	Отключение интерфейса
www-data : PWD=/usr/local/www ; USER=root ; COMMAND=/sbin/ip link set dev end1 up	Включение интерфейса
www-data : PWD=/usr/local/www ; USER=root ; COMMAND=/sbin/ip address add	Изменение параметров интерфейса
www-data : PWD=/usr/local/www ; USER=root ; COMMAND=/usr/bin/pgrep -nf /var/run/udhcpc.end0.pid	Посещение раздела Интерфейсы - Обзор

События модуля **Интерфейсы - Виртуальные IP-адреса**
Параметр	Описание параметра
exec ip util	Применение виртуального IP-алиас
[interface.iputil] returned	Применение виртуального IP-алиас

События модуля **Интерфейсы - Диагностика**
Параметр	Описание параметра
request arp table	Обновление ARP таблицы
flush arp table	Очистка ARP таблицы
exec ping util	Выполнение пинга

События модуля **Межсетевой экран - Псевдонимы**
Параметр	Описание параметра
[Audit] Alias action: User «Admin» has changed aliases configuration	Создание/изменение псевдонима
[Audit] Alias action: User «Admin» has applied aliases configuration	Применение настроек псевдонимов

События модуля **Межсетевой экран - Группы**
Параметр	Описание параметра
Firewall action: User «Пользователь» has applied interfaces group	Создание/изменение группы интерфейсов
Firewall action: User «Пользователь» has deleted interfaces group 0	Удаление группы интерфейсов
[Audit] Firewall action: User «Admin» has added/edited interfaces groups	Применение настроек группы интерфейсов

События модуля **Межсетевой экран - NAT**
Параметр	Описание параметра
NAT action: User «Admin» has toggled state nat rule	Включение/выключение правила NAT
NAT action: User «Admin» has edit/add dnat rule	Изменение/добавление правила NAT
NAT action: User «Admin» has applied all nat rules	Применение правила NAT
NAT action: User «Admin» has deleted nat rule	Удаление правила NAT
NAT action: User «Admin» has moved nat rule	Смена очерёдности правил NAT

События модуля **Межсетевой экран - Правила фильтрации**
Параметр	Описание параметра
Firewall action: User «Admin» has applied all rules	Применение правил фильтрации
Firewall action: User «Admin» has edit/add rule	Добавление/изменение правил фильтрации
Firewall action: User «Admin» has toggled state rule	Включение/выключение правила фильтрации
Firewall action: User «Admin» has deleted rule	Удаление правила фильтрации
Firewall action: User «Admin» has moved rule	Смена очерёдности правил фильтрации

События модуля **Межсетевой экран - Контроль трафика**
Параметр	Описание параметра
OPNsense/TC generated	Добавление/редактирование очереди/класса/правила
flush all tc qdisc, classes, filters for interface	Удаление очередей/классов/правил
request dummynet stats	Просмотр статистических данных или правил фильтрации

События модуля **Межсетевой экран - Настройки - Общие настройки**
Параметр	Описание параметра
[Audit] Firewall action: User «Admin» has reconfigure general configuration	Изменение в разделе «Настройки безопастности»
set sysctl params	Изменение в разделе «Настройки параметров соединений»

События модуля **Межсетевой экран - Настройки - Расписания**
Параметр	Описание параметра
[Audit] Firewall action: User «Admin» has deleted schedule	Удаление расписания
Filter schedule action: User «Admin» has add/edit schedule	Добавление/редактирование расписания

События модуля **Межсетевой экран - Файлы журнала - Прямая трансляция**
Параметр	Описание параметра
request filter log output	Просмотр прямой трансляции дампа трафика

События модуля **Службы - Обнаружение вторжений**
Параметр	Описание параметра
[Audit] IDS/IPS: action: User «Admin» has modified configuration	Изменение настроек на вкладке «Администрирование»
OPNsense/IDS generated	Инициализация и запуск модуля СОВ (IDS/IPS)
Check rulesets for validity	Проверка синтаксиса пользовательских сигнатур
Error: detect-parse:	Обнаружение ошибки в синтаксисе пользовательской сигнатуры
restart suricata daemon	Рестарт модуля СОВ (IDS/IPS)
update intrusion detection rule	Загрузка группы правил на вкладке «Обновление правил»
download failed for https ://212.24.51.164:6249/rtt-suricata-abuse/	Ошибка при загрузке группы правил на вкладке «Обновление правил»
[Audit] IDS/IPS: action: User «Admin» has edited rule with SID 903200000 in rule corrections	Внесение корректировки на вкладке «Корректировки правил»
request stats suricata	Просмотр данных на вкладке «Службы - Обнаружение вторжений - Статистические данные»
Launch error: Suricata exceeded RAM limit, exiting…	Попытка запуска модуля СОВ, прерванная из-за недостатка оперативной памяти

События модуля **Службы - Обнаружение вторжений - Эвристический анализ**
Параметр	Описание параметра
starting heuristic	Запуск модуля эвристики
restart heuristic	Перезагрузка модуля эвристики
stopping heuristic	Отключение эвристики
setup heuristic	Изменение настроек эвристики

События модуля **Службы - Сетевое время**
Параметр	Описание параметра
Sync system time with RTC	Синхронизация времени с NTP сервером
[Audit] NTP action: User «Admin» has changed ntp client configuration	Изменение настроек сетевого времени
[Audit] Service action: User «Admin» has start service ntpd	Запуск службы сетевого времени
[Audit] Service action: User «Admin» has stop service ntpd	Остановка службы сетевого времени

События модуля **Службы - Веб-прокси**
Параметр	Описание параметра
reloading proxy	Перезагрузка Веб-прокси
stopping proxy	Выключение Веб-прокси
reloading proxy	Перезапуск/Применение настроек прокси
[Audit] LOG access action: User «Admin» has accessed cache log page	Просмотр журнала кэша/доступа

События модуля **Кластеризация - Настройки**
Параметр	Описание параметра
starting csync2	Запуск службы Кластера, отвечающей за синхронизацию настроек
starting conntrackd	Запуск службы Кластера, отвечающей за синхронизацию сессий
starting keepalived	Запуск основной службы Кластера
(rtt_cluster_*) Entering BACKUP STATE	Переход в статус BACKUP
(rtt_cluster_*) Entering MASTER STATE	Переход в статус MASTER
(rtt_cluster_*) setting VIPs.	Добавление Virtual IP на интерфейс
(rtt_cluster_*) removing VIPs.	Удаление Virtual IP с интерфейса
(rtt_cluster_*) sent 0 priority	Отправка сообщения об отказе от роли MASTER
stopping conntrackd	Остановка службы Кластера, отвечающей за синхронизацию сессий
stopping keepalived	Остановка основной службы Кластера
starting keepalived	Запуск основной службы Кластера

События модуля **Питание**
Параметр	Описание параметра
[Audit] Power action: User «Admin» reboot system	Выполнение выключения кнопкой в разделе «Питание - Перезагрузка»
Reboot system	Перезагрузка системы
[system.reboot] returned OK	Успешная перезагрузка системы
[Audit] Power action: User «Admin» halt system	Выполнение выключения кнопкой в разделе «Питание - Выключение»
Halt system	Выключение системы
[system.halt] returned OK	Успешное выключение системы

События модуля **Маршрутизация**
Параметр	Описание параметра
request frr	Проверка статуса службы маршрутизации
starting frr	Запуск службы маршрутизации
stopping frr	Остановка службы маршрутизации
zebra state -> up : connect succeeded	Успешный запуск вспомогательной службы маршрутизации
mgmtd state -> up : connect succeeded	Успешный запуск вспомогательной службы маршрутизации
staticd state -> up : connect succeeded	Успешный запуск вспомогательной службы маршрутизации

Система - Шлюзы - Журнал

События конфигурации раздела **Система - Шлюзы - Одиночный**
Параметр	Описание параметра
plugins_configure monitor (execute task : dpinger_configure_do())	Изменение настроек шлюза
plugins_run return_gateways_status (execute task : dpinger_status())	Просмотр настроек шлбза

Система - Файлы журнала - Аутентификация

ААА Web access - лог **авторизаций Веб-интерфейса**
Параметр	Описание параметра
Session timed out for user „Пользователь“ from: 172.16.1.11	Автозавершение сессии веб-интерфейса по таймауту
[Audit] user Admin failed authentication. [Service: WebGui, Authenticator: Local]	Неудачная попытка входа в веб-интерфейс
user Admin could not authenticate for WebGui	Неудачная попытка входа в веб-интерфейс
Web GUI authentication error for „Admin“ from 10.0.0.2	Неудачная попытка входа в веб-интерфейс
Successful login for user „Admin“ from: 10.0.0.2	Успешная попытка входа в веб-интерфейс
[Audit] user Admin authenticated successfully. [Service: WebGui, Authenticator: Local]	Автозавершение сессии веб-интерфейса по таймауту
User logged out for user „Admin“ from: 10.0.0.2	Выход из веб-интерфейса

Система - лог всех операций, в ходе которых была авторизация или повышение прав
Параметр	Описание параметра
FAILED LOGIN (1) on „/dev/ttyS0“ FOR „Admin“, Authentication failure	Неудачная попытка авторизации через консоль
pam_unix(login:session): session opened for user Admin(uid=1200) by (uid=0)	Удачная попытка авторизации через консоль
Bad PAM password attempt for „Admin“ from 192.168.9.1:63905	Неудачная попытка авторизации через SSH
PAM password auth succeeded for „Admin“ from 192.168.9.1:63905	Удачная попытка авторизации через SSH
Exit (Admin) from <192.168.9.1:63905>: Exited normally	Выход из аккаунта CLI

Службы - Мониторинг служб - Файлы журнала

Мониторинг служб
Параметр	Описание параметра
„RTT_System_monitor“ loadavg (5min) of 1.6 matches resource limit [loadavg (5min) > 1.5]	Превышение выбранного параметра (1.6) по сравнению с заданным порогом (1.5)
„RTT_lighttpd“ failed protocol test [DEFAULT] at [localhost]:80 [TCP/IP] – Connection refused	Провал теста доступности 80го порта
„RTT_lighttpd“ trying to restart	Перезагрузка службы

Службы - Сетевое время - Журнал

Сетевое время
Параметр	Описание параметра
Clock Synchronized	Успешная синхронизация времени
188.134.76.192 901a 8a sys_peer	Успешный выбор NTP сервера для синхронизации
185.41.243.43 8014 84 reachable	Установление связи с NTP сервером
DNS ntp3.ntp-servers.net -> 185.41.243.43	Успешное получение IP адреса NTP сервера
retrying DNS ntp0.ntp-servers.fault: Name or service not known (-2)	Неуспешная попытка получения IP адреса NTP сервера

Службы - DHCPv4 - Журнал

События модуля **Службы - DHCPv4**
Параметр	Описание параметра
starting dhcpd	Запуск службы DHCPv4
[dhcpd.start] returned OK	Успех запуска службы DHCPv4
DHCPv4 prepare config file	Применение настроек DHCPv4
stopping dhcpd	Остановка службы DHCPv4
[dhcpd.stop] returned OK	Успех остановки службы DHCPv4
DHCPDISCOVER from c4:36:da:05:6d:00 via end1	Получение широковещательного DHCPv4 запроса
DHCPOFFER on 2.2.2.1 to c4:36:da:05:6d:00 via end1	Отправка DHCPv4 оффера
DHCPREQUEST for 2.2.2.1 (2.2.2.2) from c4:36:da:05:6d:00 via end1	Получение DHCPv4 запроса на предоставление IP
DHCPACK on 2.2.2.1 to c4:36:da:05:6d:00 via end1	Отправка DHCPv4 подтверждения

Службы - DHCPv6 - Журнал

События модуля **Службы - DHCPv6**
Параметр	Описание параметра
starting dhcpd6	Запуск службы DHCPv6
[dhcpd6.start] returned OK	Успех запуска службы DHCPv6
DHCPv6 prepare config file	Применение настроек DHCPv6
stopping dhcpd6	Остановка службы DHCPv6
[dhcpd6.stop] returned OK	Успех остановки службы DHCPv6
Picking pool address fd01::7	Получение от клиента запроса и выделение IPv6 адреса
Sending Advertise to fe80::c636:daff:fe05:6d00 port 546	Получение от клиента запроса и выделение IPv6 адреса
Sending Reply to fe80::c636:daff:fe05:6d00 port 546	Получение от клиента запроса и выделение IPv6 адреса

Службы - Обнаружение вторжений - Журнал

События модуля **Службы - Обнаружение вторжений**
Параметр	Описание параметра
Notice: threads: Threads created -> W: 4 FM: 1 FR: 1 Engine started.	Успешный запуск СОВ
Warning: output-json-alert: Found deprecated eve-log.alert flag «tls», this flag has no effect	Уведомление о возможной проблеме в синтаксисе правила
Error: detect: error parsing signature «alert icmp any any -> any any (msg: «test»; sid: 999999» from file /etc/suricata/rtt.rules/RTT.rules at line 8	Сообщение об ошибке в синтаксисе. Правило, к которому относится эта ошибка, не будет учтено в работе модуля
Info: suricata: Setting engine mode to IDS mode by default	Запуск СОВ в режиме IDS
Info: nfq: NFQ running in standard ACCEPT/DROP mode	Запуск СОВ в режиме IPS

Службы - Веб-прокси - Журнал службы

События модуля **Службы - Веб-прокси**
Параметр	Описание параметра
kid1\| Starting Squid Cache version 6.11-VCS for aarch64-oe-linux-gnu…	Запуск службы Веб-прокси
listening port: 192.168.9.3:3128	Успешный запуск Веб-прокси, старт прослушивания указанного в настройках интерфейса
listening port: 127.0.0.1:3128	Успешный запуск Веб-прокси, старт прослушивания loopback интерфейса для работы в прозрачном режиме
kid1\| Logfile: opening log stdio:/var/squid/logs/access.log	Начало записи в Журнал доступа
kid1\| Logfile: opening log stdio:/var/squid/logs/store.log	Начало записи в Журнал кэша

Службы - Службы - Веб-прокси - Журнал доступа

События модуля **Службы - Веб-прокси**
Параметр	Описание параметра
7 192.168.9.11 TCP_MISS/200 9879 GET http ://lib.ru/INOFANT/ - ORIGINAL_DST/81.176.66.163 text/html	Запрос веб страницы, которой нет в кэше
12 192.168.9.11 TCP_REFRESH_UNMODIFIED/304 - 245 GET http ://lib.ru/INOFANT/ ORIGINAL_DST/81.176.66.163 -	Запрос веб страницы, которая есть в кэше
1 192.168.9.11 TCP_DENIED/403 28317 GET http ://lib.ru/DETEKTIWY/ - HIER_NONE/- text/html	Запрос веб страницы, отклонённый из-за запрета в настройках доступа
kid1\| Logfile: opening log stdio:/var/squid/logs/store.log	Начало записи в Журнал кэша

Службы - Веб-прокси - Журнал кэша

События модуля **Службы - Веб-прокси**
Параметр	Описание параметра
SWAPOUT 00 00000001 65B01FBF366834D46073E0AA81E59F75 200 1743502189 1743056495 -1 text/html -1/4711 GET http ://lib.ru/DETEKTIWY/	Сохранение объекта на диск
RELEASE 00 00000000 65B01FBF366834D46073E0AA81E59F75 200 1743502187 1743056495 -1 text/html -1/4712 GET http ://lib.ru/DETEKTIWY/	Удаление объекта их кэша

Маршрутизация - Диагностика - Журналирование

События модуля **Маршрутизация - BFD**
Параметр	Описание параметра
state-change: [mhop:no peer:192.168.7.2 local:0.0.0.0 vrf:default] up -> down reason:control-expired	Падение BFD сессии
state-change: [mhop:no peer:192.168.7.2 local:0.0.0.0 vrf:default] init -> up	Восстановление BFD сессии
session-new: mhop:no peer:192.168.7.2 local:0.0.0.0 vrf:default	Применение новой BFD сессии

Маршрутизация - Диагностика - Журналирование

События модуля **Маршрутизация - BGP**
Параметр	Описание параметра
192.168.9.2 [Event] Connect start to 192.168.9.2 fd 26	Установление BGP соседства
192.168.9.2 fd 26 went from Active to Connect vrf:default] init -> up	Смена статуса BGP соседа
[EC 33554461] 192.168.9.2: nexthop_set failed, local: 192.168.7.3:36107 remote: (null)p update_if: enP2p1s0f1 resetting connection - intf (Unknown)	Ошибка сосединения с BGP соседом

НА-кластеризация

Резервирование и восстановление конфигурации