Настройки алертов: Syslog
На вкладке Syslog диалогового окна Настройки алертов можно настроить параметры для отправки оповещений на сервер syslog.
Чтобы открыть это диалоговое окно, выполните одно из следующих действий:
•В дереве консоли щелкните правой кнопкой мыши Алерты и выберите Управление.
•В дереве консоли выберите
Алерты и нажмите
Управление 
на панели инструментов.
•В дереве консоли выберите Алерты, а затем на панели сведений щелкните правой кнопкой мыши Syslog и выберите Управление.
•В дереве консоли выберите Алерты, а затем на панели сведений дважды щелкните Syslog.
Примечание: Можно настроить различные параметры тревожных оповещений для оперативного и автономного режимов. Настройки оперативного режима (обычный профиль) применяются к клиентским компьютерам, находящимся в сети. Настройки автономного режима (офлайн-профиль) применяются к клиентским компьютерам, работающим автономно. По умолчанию DeviceLock работает в автономном режиме, когда сетевой кабель не подключен к клиентскому компьютеру. Для получения дополнительной информации о политиках DeviceLock для автономного режима работы, см. раздел
Политики безопасности DeviceLock (офлайн-профиль). |
Можно настроить сервис DeviceLock на автоматическую отправку тревожных оповещений на указанный сервер syslog при возникновении условий срабатывания. Отправка оповещений происходит только при соблюдении следующих условий:
•Сервер syslog настроен и готов к приему оповещений.
•Удаленный компьютер, на котором запущен сервер syslog, доступен со всех компьютеров, на которых работает сервис DeviceLock.
•Настроена отправка тревожных оповещений на сервер syslog.
DeviceLock поставляется с набором готовых шаблонов тревожных оповещений для отправки на сервер syslog. Эти шаблоны определяют основное содержимое, формат и структуру оповещений. DeviceLock предоставляет следующие шаблоны:
•Шаблон сообщения syslog для административных оповещений.
•Шаблон сообщения syslog для прочих оповещений.
Каждый шаблон содержит следующие данные:
•Тело сообщения - Текст, отображаемый в теле сообщения syslog. Текст сообщения совпадает в обоих шаблонах и включает в себя статичный текст и макросы. Статичный текст по умолчанию: “Зарегистрировано следующее событие”. В тело сообщения можно вставить дополнительные сведения, используя следующие макросы:
•%EVENT_TYPE% - Класс события (Успех для разрешенной попытки доступа, Отказ для запрещенной попытки доступа, Информация для прочих событий).
•%COMP_NAME% - Имя компьютера, от которого получено событие.
•%COMP_FQDN% - Полное доменное имя компьютера, от которого получено событие.
•%COMP_IP% - Список всех IP-адресов компьютера, разделенных запятой.
•%DATE_TIME% - Дата и время, когда событие было получено сервисом DeviceLock. Дата и время указываются в соответствии с региональными и языковыми настройками на клиентском компьютере.
•%SOURCE% - Тип устройства или протокола, с которым связано событие.
•%ACTION% - Тип действия пользователя.
•%NAME% - Имя объекта (файла, USB-устройства и т.п.).
•%INFO% - Прочая информация об устройстве, связанном с событием, например флаги доступа, название устройства и так далее.
•%REASON% - Причина возникновения события.
•%USER_NAME% - Имя пользователя, связанного с событием.
•%USER_SID% - Идентификатор безопасности (SID) пользователя, связанного с данным событием.
•%PROC_NAME% - Имя процесса приложения, связанного с данным событием.
•%PROC_ID% - Идентификатор процесса приложения, связанного с событием.
•%EVENT_ID% - Число, идентифицирующее тип события.
•%SUMMARY_TABLE% - Таблица с детализацией отдельных событий для агрегированных алертов.
Эти макросы заменяются на фактические значения во время создания сообщения.
Заполните вкладку Syslog следующим образом:
•Подключение - Введите информацию о сервере syslog:
•Сервер - Доменное имя или IP адрес сервера syslog.
•Протокол - Протокол доступа к серверу syslog, TCP или UDP. По умолчанию выбран протокол UDP.
•Порт - Номер порта для доступа к серверу syslog. Порт по умолчанию - 514.
•Разделение сообщений - Способ формирования сообщений для протокола TCP. Можно выбрать: Нулевой байт, LF, CR+LF или Длина сообщения.
•Параметры - Задайте следующие параметры подключения:
•Имя - Уникальное имя для канала связи с сервером syslog. По умолчанию используется имя DeviceLockAlert.
•Код категории - Одно из стандартных значений сервера syslog (от 0 до 23) для указания типа программы, которая записывает сообщения в журнал.
•Размер сообщения - Размер syslog-сообщения, в байтах. Размер по умолчанию - 65535 байт.
•Задать сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений syslog для оповещений.
В появившемся диалоговом окне Syslog-сообщение для алертов можно также:
•Выбрать степень серьезности сообщения из списка Уровень.
•Загрузить шаблон сообщения из текстового файла, использующего символы табуляции в качестве разделителя. Нажмите кнопку Загрузить, и выберите файл. Будет загружено все содержимое файла.
•Восстановить шаблон по умолчанию. Для этого нажмите кнопку Восстановить умолчания.
•Задать админ. сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений syslog для административных оповещений.
В появившемся диалоговом окне Syslog-сообщение для административных алертов можно также:
•Выбрать степень серьезности сообщения из списка Уровень.
•Загрузить шаблон сообщения из текстового файла, использующего символы табуляции в качестве разделителя. Нажмите кнопку Загрузить, и выберите файл. Будет загружено все содержимое файла.
•Восстановить шаблон по умолчанию. Для этого нажмите кнопку Восстановить умолчания.
•Порог - Задайте временной интервал (в часах, минутах или секундах) для объединения событий при отправке алертов. Сервис DeviceLock объединяет события, произошедшие в течение порогового времени, и создает объединенное событие при выполнении следующих условий:
a) События относятся к одному типу (Успех, Отказ или Информация).
b) События регистрируются для одного и того же типа устройств/протокола.
c) События связаны с одним и тем же пользователем.
d) События связаны с одним и тем же PID.
Значение по умолчанию - 10 минут.
Примечание: При отправке уведомлений сервис DeviceLock объединяет только события, связанные с доступом. Административные оповещения не объединяются. |
•Тест - Отправьте тестовое сообщение, чтобы проверить правильность настройки. В результате тестовой операции отобразится одно из двух сообщений:
•Если тест выполнен успешно, т.е. пробное сообщение отправлено с настроенными для него параметрами, сообщение будет следующим: “Тестовый алерт Syslog успешно отправлен.”
•Если тест не выполнен, т.е. пробное сообщение отправить не удалось, сообщение будет следующим: “Тестовый алерт Syslog не был отправлен из-за ошибки: <описание ошибки>.”