Лог-файл системы безопасности
Данный лог-файл предназначен для записи всех сообщений, связанных с безопасностью системы. Сведения cледующих видов могут находиться в лог-файле:
-
Запись лог-файлов при помощи Anti-spoofing
Сообщения о пакетах "перехваченных" модулем Anti-spoofing (пакетов с недопустимыми исходными IP адресами см. раздел Security Settings)
Примеры:
[17/Jul/2003 11:46:38] Anti-Spoofing:
Packet from LAN, proto:TCP, len:48,
ip/port:61.173.81.166:1864 -> 195.39.55.10:445,
flags: SYN , seq:3819654104 ack:0, win:16384, tcplen:0
-
packet from направление пакета (следующего от интерфейса или к интерфейсу)
-
LAN имя интерфейса, где был зарегистрирован пакет (см. раздел Interfaces)
-
proto: протокол передачи (TCP, UDP и т.д.)
-
len: — размер пакета в байтах (включая заголовки)
-
ip/port: IP адрес и порт отправителя и получателя
-
flags: TCP флаги (только TCP)
-
seq: порядковый номер (только ТCР)
-
ack: порядковый номер подтверждения (только TCP)
-
win: размер полученного окна (только TCP)
-
tcplen: размер важной информации в байтах
-
-
Запись лог-файлов при помощи FTP protocol parser
Пример 1:
[17/Jul/2003 11:55:14] FTP: Попытка атаки была отражена:
Клиент: 1.2.3.4, Сервер: 5.6.7.8,
Команда: PORT 10,11,12,13,14,15
(определена попытка атаки несоответствующий IP адрес в команде PORT)
Пример 2:
[17/Jul/2003 11:56:27] FTP:Ответ серверу, от которого исходила угроза:
Клиент: 1.2.3.4, сервер: 5.6.7.8,
Ответ: 227 Вход в пассивный режим (10,11,12,13,14,15)
(подозрительный ответ сервера с несоответствующим IP адресом)
-
Неправильная пользовательская идентификация также записывается в лог-файле
Формат сообщения:
Идентификация: <Служба>: Клиент: <IP адрес: <Причина>
-
<Служба> Служба WinRoute, к которой пользователь пытался получить доступ (Admin = администратор, использующий Kerio Administration Console, WebAdmin = интерфейс сетевого администратора , WebAdmin SSL = безопасный интерфейс администратора сети, Proxy = прокси-сервер пользовательской идентификации)
-
<IP адрес> IP адрес компьютера, с которого пытались выполнить идентификацию.
-
<причина> причина отказа при процедуре идентификации (несуществующий пользователь /неправильный пароль)
Обратите внимание: Для более конкретной информации о пользовательской идентификации см. раздел User Accounts и Firewall User Authentication .
-
-
Информация о запуске и остановке движка WinRoute Firewall
a) Запуск движка:
[17/Jul/2003 12:11:33] Engine: Startup.
b) Остановка движка:
[17/Jul/2003 12:22:43] Engine: Shutdown.
Перевод документации осуществлен силами компании Red Line Software
