Настройка журнала событий

Функционал предназначен для настройки сбора логов событий компьютеров домена ПРК в хронологическом порядке. Данные собираются на сервере журнала событий. Собранные данные могут использоваться для анализа и аудита сторонними SIEM.

Журнал событий ПРК позволяет собирать следующие события: логи авторизации Fly, логи удаленного подключения, логи состояния подключения к сети.

Ограничения:

• расширение списка регистрируемых событий из портала управления не предусмотрено;

• функционал мониторинга, аудита и реагирования на события на портале управления не предусмотрен.

Определения

• журналирование событий — автоматическая запись информации о событиях, происходящих с некоторым объектом. Ведется в хронологическом порядке. Записывается в локальные файлы, базу данных или т.д. Используется для последующей обработки;

• хронологический порядок — привязка к конкретной дате и времени события;

• логи — записи о событиях, происходящих в системе;

• источник — именованная коллекция сконфигурированных исходных драйверов;

• пути журналов (Log paths) — сочетание источников, мест назначения и других объектов, таких как фильтры, синтаксические анализаторы и правила перезаписи. Приложение syslog-ng отправляет сообщения, поступающие из источников путей журнала, в определенные пункты назначения, а также выполняет фильтрацию, анализ и перезапись сообщений. Пути журналов также называются операторами журнала. Операторы могут включать другие (встроенные) операторы журнала и соединения для создания сложных путей журнала;

• Security Information and Event Management (SIEM) — инструменты для сбора, анализа, интерпретации и управления информацией об активности в информационной системе, чтобы обнаруживать и предотвращать угрозы безопасности.