Лог-файл фильтра
Данный лог-файл содержит информацию о ресурсах и объектах, которые были заблокированы HTTP и FTP фильтрами (см. главу URL Rules и FTP Policy). А также информацию о пакетах, которые были блокированы правилами трафика, если активирован packet logging для данного правила. Каждая строка лог-файла содержит следующую информацию в зависимости от объекта, на основе работы которого сгенерирован лог:
-
При использовании HTTP или FTP правила, в лог-файл входит следующая информация: имя правила, имя пользователя, IP адрес хоста с которого был послан запрос, URL объекты
-
При использовании правила трафика, в лог-файл входит следующая информация: подробные данные о пакете, который соответствует данному правилу (имя правила, адрес отправителя и получателя, порты, размер и т.д.)
Пример лог-файла URL правила:
[18/Apr/2003 13:39:45] ALLOW URL 'McAfee update'
192.168.64.142 james HTTP GET
http://update.kerio.com/nai-antivirus/datfiles/4.x/dat-4258.zip
-
[18/Apr/2003 13:39:45] дата и время события
-
ALLOW выполненное действие (ALLOW = доступ разрешен, DENY = доступ запрещен)
-
URL тип правила (для URL или FTP)
-
'McAfee update' название правила
-
192.168.64.142 IP адрес клиента
-
jsmith имя пользователя, идентифицированного посредством брэндмауера (ни одно имя не будет отражаться, до тех пор, пока хоть один пользователь не вошел в систему с отдельного хоста)
-
HTTP GET HTTP метод, который использовался в запросе
-
http:// ... запрашиваемый URL адрес
Пример лог-файла для правила трафика:
[16/Apr/2003 10:51:00] PERMIT 'Local traffic' packet to LAN,
proto:TCP, len:47, ip/port:195.39.55.4:41272 ->
192.168.1.11:3663, flags: ACK PSH , seq:1099972190
ack:3795090926, win:64036, tcplen:7
-
[16/Apr/2003 10:51:00] дата и время события
-
PERMIT действие, совершенное с пакетом (PERMIT, DENY или DROP)
-
Local traffic название правила
-
packet to направление пакета (или to (к) или from (от) определенного интерфейса)
-
LAN название интерфейса (см. главу Interfaces)
-
proto: тип транспортного протокола (TCP, UDP и т.д.)
-
len: размер пакета в байтах (включая заголовки)
-
ip/port: IP адрес и порт отправителя, IP адрес и порт получателя
-
flags: TCP флаги
-
seq: порядковый номер пакета (только TCP)
-
ack: порядковый номер подтверждения (только TCP)
-
win: размер полученного окна в байтах (это нужно для потокового управления данными только TCP)
-
tcplen: размер важной информации в TCP пакете (т.е. размер информационной части пакета в байтах только TCP)
Перевод документации осуществлен силами компании Red Line Software
