Настройка регистрации системных событий
Имя пакета: fly-admin-events
Версия пакета: 0.3.6 и выше
Условия работы: вход в сессию с правами администратора. Для запуска требуется ввести пароль администратора
Общие сведения
Модуль программы «Параметры системы» для настройки регистрации событий системы в журнале событий, а также настройки уведомлений о событиях системы.
Для просмотра зарегистрированных событий используется программа «Журнал системных событий» (см. справочную страницу «Журнал системных событий»). Настройки регистрации событий системы определяют вид записей о разных событиях в программе «Журнал системных событий».
Модуль является частью подсистемы регистрации событий. Описание подсистемы регистрации событий приведено в эксплуатационных документах «Руководство по КСЗ. Часть 1» и «Руководство администратора. Часть 1».
Запуск
Программа запускается:
- в графическом интерфейсе:
- через меню Пуск — Параметры — Регистрация событий и аудит — Настройка регистрации системных событий;
- через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Регистрация событий и аудит — Настройка регистрации системных событий;
- из терминала — выполнить команду:
fly-admin-events
Служба регистрации событий
Запуск службы
Для запуска службы регистрации событий необходимо в главном окне программы нажать [Запуск службы логирования], при необходимости ввести пароль администратора. В случае успешного запуска службы в главном окне программы будет отображено следующее сообщение:
«Служба логирования запущена.»
При наведении курсора на данное сообщение будет отображена информация о статусе служб syslog-ng и auditd (см. man syslog-ng и man auditd).
Остановка службы
Для остановки службы регистрации событий необходимо в главном окне программы нажать [Остановка службы логирования], при необходимости ввести пароль администратора. В случае успешной остановки службы в главном окне программы будет отображено следующее сообщение:
«Служба логирования остановлена.»
При наведении курсора на данное сообщение будет отображена информация о статусе служб syslog-ng и auditd (см. man syslog-ng и man auditd).
Регистрация событий
Список событий
События, доступные для регистрации, отображаются в главном окне программы.
Список событий имеет следующую структуру:
- 1 — категория событий;
- 2 — событие в категории;
- 3 — группа параметров регистрации события (см. Включение и выключение регистрации событий);
- 4 — параметры регистрации события в группе параметров (см. Включение и выключение регистрации событий).
События в списке сгруппированы по категориям, например:
- Управление атрибутами доступа — события вызова и изменения атрибутов доступа;
- Регламентный контроль целостности — события регламентного контроля целостности Afick;
- События аудита — события добавления и удаления правил аудита;
- Идентификация и аутентификация субъекта доступа — события успешной и неуспешной аутентификации, завершения пользовательской сессии, информации о предыдущих входах;
- Управление привилегиями пользователя — события изменения привилегий пользователей.
Набор категорий зависит от установленных модулей подсистемы регистрации событий.
Для того чтобы отобразить или скрыть события в категории, необходимо нажать соответственно [>] или [V] в строке этой категории.
Если флаг категории установлен, то все входящие в нее события регистрируются. Если флаг категории отмечен многоточием («...»), то регистрируется только часть событий категории. Если флаг категории снят, то ни одно событие этой категории не регистрируется.
Для того чтобы отобразить события всех категорий, необходимо вызвать контекстное меню таблицы и выбрать Развернуть все. Для того чтобы скрыть события всех категорий, необходимо вызвать контекстное меню таблицы и выбрать Свернуть все.
Описание включения, выключения и настройки регистрации событий см. Включение и выключение регистрации событий.
Для того чтобы найти в таблице нужное событие, можно воспользоваться полем поиска.
Следует ввести частично или полностью название нужного события. По мере ввода будут отображаться события и группы событий, содержащие введенный текст. Первое найденное совпадение будет автоматически выделено. Для перехода к следующему или предыдущему совпадению нажать кнопку (3) или (2) соответственно. Для очистки поля поиска нажать кнопку (1).
Включение и выключение регистрации событий
Для того чтобы включить/выключить регистрацию события, необходимо:
- раскрыть категорию, к которой относится событие, нажав [>];
- установить/снять флаг этого события.
Для того чтобы включить/выключить регистрацию всех событий одной категории, необходимо установить/снять флаг нужной категории.
Если флаг категории имеет вид многоточия («...»), это значит, что только часть событий этой категории регистрируется. При нажатии на флаг он будет переведен в установленное состояние, при повторном нажатии — в снятое состояние.
События, генерирующие большое количество записей в журнале событий, отмечены в таблице значком с буквой «i». При наведении курсора мыши на этот значок отображается всплывающее предупреждение.
Некоторые события конфликтуют друг с другом — если включена регистрация обоих событий, то будет регистрироваться только одно из них. Конфликтующие события выделены полужирным шрифтом. При наведении курсора на строку события будет отображена всплывающая подсказка с информацией о конфликтующем событии.
Настройки регистрации события
Каждое событие имеет набор параметров регистрации, которые определяют:
- информацию о событии, которая будет отображаться в журнале событий — идентификатор, описание, время события и др.;
- правила регистрации события — например, правила регистрации для конкретных пользователей/групп или условия, при которых событие не будет регистрироваться.
Для того чтобы просмотреть параметры регистрации для конкретного события, необходимо нажать [>] для этого события.
- группа Дополнительно включать в лог содержит параметры события, которые не являются обязательными для записи в журнал событий. Запись таких параметров настраивается по усмотрению администратора (см. Параметры события, отображаемые в журнале);
- параметры группы Параметры игнорирования события задают условия, при выполнении которых событие не будет регистрироваться в журнале событий (см. Параметры игнорирования события);
- группа Параметры пользовательского аудита содержит параметры пользовательского аудита события (см. Параметры пользовательского аудита);
- параметры в группе Параметры для поиска события используются службой регистрации событий в процессе преобразования низкоуровневых событий из источников (журнала аудита и других журналов) в формат журнала событий (см. Параметры поиска события).
Для некоторых событий доступны специальные параметры, расположенные вне групп параметров. Эти параметры задают дополнительные правила обработки и регистрации событий. Полный перечень специальных параметров и порядок настройки см. Специальные параметры регистрации события.
Параметры события, отображаемые в журнале
Параметры события, отображаемые в журнале событий, разделяются на обязательные (всегда записываются в журнал событий) и дополнительные.
К обязательным относятся следующие параметры:
- ID события — идентификатор события. Параметр недоступен для редактирования;
- Event description — описание события на английском языке. Параметр доступен для редактирования;
- Описание события — описание события на русском языке. Параметр доступен для редактирования.
Для просмотра и редактирования обязательных параметров события необходимо:
- раскрыть настройки события, нажав [>];
- раскрыть группу параметров Параметры логирования, нажав [>];
- при необходимости отредактировать описание события на русском или на английском языке — дважды нажать в столбце Значение, внести изменения и нажать <Enter>.
Набор дополнительных параметров события зависит от типа события и может включать в себя имя учетной записи, с которым связано событие, дополнительные форматы времени события и другие.
Для просмотра и редактирования дополнительных параметров события, которые будут записываться в журнал событий, необходимо:
- раскрыть группу параметров Дополнительно включать в лог, нажав [>];
- при необходимости изменить набор записываемых дополнительных параметров:
- для параметров, которые требуется записывать в журнал событий, установить флаги;
- для параметров, которые не требуется записывать в журнал событий, снять флаги;
- для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.
Полный перечень дополнительных параметров события приведен в таблице.
| Параметр | Описание |
|---|---|
Время события | Время, в которое произошло событие |
| Время начала события | Время начала события |
| Время завершения события | Время завершения события |
| Группа | Группа пользователей, с которой связано событие |
| Детальное описание события | Подробное описание события |
| Идентификатор устройства | Идентификатор устройства, с которым связано событие |
| Каталог | Каталог, с которым связано событие |
| Команда | Команда, связанная с событием |
| Метка времени Unix | Unix-время, в которое произошло событие |
| Метка объекта | Метка объекта аудита, с которым связано событие |
| Метка субъекта | Метка субъекта аудита, с которым связано событие |
| Модуль ядра | Модуль ядра, с которым связано событие |
| Наименование устройства | Имя устройства, с которым связано событие |
| Пакет | Имя пакета, с которым связано событие |
| Пользователь | Имя учетной записи, с которой связано событие |
| Программа, инициировавшая событие | Имя программы, инициировавшей событие |
Производитель | Название производителя устройства, с которым связано событие |
Путь к объекту | Путь в файловой системе к объекту, с которым связано событие |
Серийный номер | Серийный номер устройства, с которым связано событие |
| Сетевой интерфейс | Сетевой интерфейс, задействованный в событии |
| Статус успешности операции | Информация об успешности операции, с которой связано событие |
| Терминал | Имя файла терминала, с которым связано событие |
| Файл | Имя файла, с которым связано событие |
ID процесса | Идентификатор процесса, с которым связано событие |
| ID родительского процесса | Идентификатор родительского процесса, породившего дочерний процесс, с которым связано событие |
| state | Состояние службы, с которой связано событие |
Специальные параметры регистрации события
Для некоторых событий доступны специальные параметры, расположенные вне групп параметров. Эти параметры могут задавать дополнительные правила обработки и регистрации событий, указывать на подсистему, к которой относится событие, связь данного события с другими и т.д. Специальные параметры находятся непосредственно в настройках события. Например, для события Удаление файла доступен специальный параметр Получить имя пользователя из uid. Если этот параметр включен, то при обработке записей, в которых отсутствует имя пользователя, связанного с событием, служба syslog-ng будет определять имя пользователя по идентификатору пользователя (uid). Для включения параметра необходимо установить флаг, для отключения — снять флаг.
Полный перечень специальных параметров приведен в таблице.
| Параметр | Описание | Пример значения |
|---|---|---|
| Выполнение от имени суперпользователя | При регистрации данного события указывать факт его выполнения с использованием механизма sudo | Флаг установлен |
| Зависит от событий | Указываются события, регистрация которых необходима для корректной регистрации данного события | succeed-session-unlocking |
| Объект сообщения по стандарту Syslog | Указывает, к какой подсистеме относится данное событие | security |
| Определить тип учетной записи по имени пользователя | Если в записи о событии не указан тип учетной записи (обычная или служебная), то тип учетной записи для регистрации в журнале событий будет получен из имени пользователя | Флаг установлен |
| Определить тип учетной записи по uid | Если в записи о событии не указан тип учетной записи (обычная или служебная), то тип учетной записи для регистрации в журнале событий будет получен из идентификатора пользователя (uid) | Флаг установлен |
| Получить имя группы из gid | Если в записи о событии не указано имя группы, то имя группы для регистрации в журнале событий будет получено из идентификатора группы (gid) | Флаг установлен |
| Получить имя пользователя из uid | Если в записи о событии не указано имя пользователя, то имя пользователя для регистрации в журнале событий будет получено из идентификатора пользователя (uid) | Флаг установлен |
| Приоритет сообщения по стандарту Syslog | Присваиваемый данному событию приоритет согласно стандарту Syslog | critical |
Параметры игнорирования события
Для некоторых событий доступны параметры игнорирования события. Эти параметры позволяют задать условия, при соблюдении которых событие не будет регистрироваться. В зависимости от события, параметры в этой группе могут различаться или группа может отсутствовать.
Для просмотра параметров игнорирования события необходимо раскрыть группу параметров Параметры игнорирования события, нажав [>]. Например, для события Удаление файла доступен параметр Путь к объекту. Этот параметр указывает расположение файлов, удаление которых не будет регистрироваться в журнале событий. Для редактирования параметра Путь к объекту необходимо дважды нажать в столбце Значение, внести изменения и нажать <Enter>.
Полный список параметров игнорируемых событий приведен в таблице.
| Параметр | Описание | Пример значения |
|---|---|---|
Пользователь | Указывается имя учетной записи. События, связанные с указанной учетной записью, не будут регистрироваться в журнале событий | admin1 |
Программа, инициировавшая событие | Указывается полный путь к программе. События, поступающие от указанной программы, не будут регистрироваться в журнале событий | /usr/sbin/logrotate |
Путь к объекту | Указывается полный путь к файлу. События, связанные с указанным файлом, не будут регистрироваться в журнале событий | /parsec/log/astra/events |
Системный вызов | Указывается название системного вызова. События, связанные с указанным системным вызовом, не будут регистрироваться в журнале событий | renameat |
Параметры пользовательского аудита
Для событий, связанных с пользователями или группами, доступны параметры пользовательского аудита. Эти параметры определяют правила регистрации успешных и неуспешных событий для пользователей и групп. К таким событиям относятся действия с файлами, изменение владельца файла или каталога, изменение атрибутов доступа, изменение мандатного уровня или категории целостности и другие. Например, для события Удаление файла можно выбрать пользователей/группы, удаление файлов которыми будет регистрироваться в журнале событий.
ВНИМАНИЕ! Необходимо настроить пользовательский аудит события как минимум для одного пользователя/группы, иначе событие не будет регистрироваться.
Для просмотра правил пользовательского аудита события необходимо раскрыть группу параметров Параметры пользовательского аудита, нажав [>], затем раскрыть пункт с условным наименованием события (для события Удаление файла это delete), нажав [>].
Для настройки правил пользовательского аудита события для пользователей/групп необходимо:
- если нужно включить регистрацию неуспешного события для всех пользователей и групп — в строке Отказ установить флаг;
- если нужно включить регистрацию успешного события для всех пользователей и групп — в строке Успех установить флаг;
- если нужно включить регистрацию успешного/неуспешного события для определенных пользователей:
- дважды нажать левой кнопкой мыши на строку Пользователи в столбце Значение;
- в открывшемся окне Пользователи установкой флагов включить для нужных пользователей аудит успешного и неуспешного события;
- нажать [Да];
- если нужно включить регистрацию успешного/неуспешного события для определенных групп:
- дважды нажать левой кнопкой мыши на строку Группы в столбце Значение;
- в открывшемся окне Группы установкой флагов выбрать для каждой группы успешные и неуспешные события, регистрация которых будет включена;
- нажать [Да].
Для сохранения изменений необходимо:
- нажать [Применить], при необходимости ввести пароль администратора;
- для вступления в действие настроек пользовательского аудита — перезагрузить систему.
Параметры поиска события
Для некоторых событий доступны параметры поиска события. Эти параметры используются службой регистрации событий для поиска записей об этом событии в источниках (журнале аудита и других журналах). Непосредственно в журнале событий эти параметры не записываются. Записи, которые содержат указанные параметры и значения, распознаются как записи об этом событии. Они преобразуются в формат журнала событий и регистрируется в нем. Параметры поиска события различаются для разных событий. Изменять значения параметров поиска события не рекомендуется.
Для просмотра параметров поиска события необходимо раскрыть группу параметров Параметры для поиска события, нажав [>]. В качестве примера, для события Удаление файла доступен параметр Тип операции, который указывает, что служба syslog-ng будет осуществлять поиск записи об этом событии по ключевому слову «DELETE». Для редактирования параметра Тип операции необходимо дважды нажать в столбце Значение, внести изменения и нажать <Enter>.
Для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора.
Для некоторых событий значения параметров поиска могут быть регулярными выражениями.
Полный список параметров поиска событий приведен в таблице.
| Параметр | Описание | Пример значения |
|---|---|---|
| Ключевые слова | ||
| Ключи для поиска записи в логе | Ключевые слова для поиска события в журнале событий | parsec_f |
| Команда | Команда, записываемая в журнал событий | umount |
Операция с пакетом | Обозначение выполненной операции с пакетом в журнале событий | install |
Описание операции | Описание выполненной операции в журнале событий | add_rule |
Программа, инициировавшая событие | Имя программы, инициировавшей событие | /usr/sbin/logrotate |
Путь к объекту | Путь к файлу, записываемый в журнал событий | /etc/parsec/mac_categories |
Путь к приложению | Путь к программе, записываемый в журнал событий | /usr/bin/fly-wmpam |
Результат операции | Результат операции, записываемый в журнал событий | success |
Системный вызов | Системный вызов, записываемый в журнал событий | umount2 |
Тип записи | Тип записи, указываемый в журнале событий | CONFIG_CHANGE |
Функция | Функция, записываемая в журнал событий | acl_reg |
Юнит systemd | Название юнита systemd, записываемое в журнал событий | syslog-ng |
afick.type | Обозначение типа события afick, записываемое в журнал событий | afick_integrity_event_del_object |
Регулярные выражения | ||
Описание операции | Описание выполненной операции в журнале событий | ^user .* removed by .* from group .*$ |
Предпросмотр записи о событии
При необходимости можно посмотреть, как запись о событии будет выглядеть в программе «Журнал системных событий» и в файле журнала событий (см. справочную страницу «Журнал системных событий»). Для этого необходимо нажатием правой кнопки мыши вызвать контекстное меню нужного события и выбрать Показать пример события. Будет открыто окно Пример записи в логе.
Пример настройки регистрации события
Настройка регистрации события выполняется следующим образом:
- включить регистрацию события;
- при необходимости изменить параметры регистрации события.
Порядок настройки приведен на примере события Удаление файла.
Для того чтобы включить регистрацию события Удаление файла, необходимо:
- раскрыть категорию События безопасности, нажав [>];
- в списке событий категории включить регистрацию события Удаление файла, установив для него флаг.
Для редактирования описания события Удаление файла на русском или на английском языке (см. Параметры события, отображаемые в журнале) необходимо:
- раскрыть настройки события, нажав [>];
- раскрыть группу параметров Параметры логирования, нажав [>];
- отредактировать описание события — дважды нажать в столбце Значение, внести изменения и нажать <Enter>.
Для настройки дополнительных параметров события, которые требуется записывать в журнал событий (см. Параметры события, отображаемые в журнале), необходимо:
- раскрыть группу параметров Дополнительно включать в лог, нажав [>];
- выбрать дополнительные параметры:
- для параметров, которые требуется регистрировать в журнале событий, установить флаги;
- для параметров, которые не требуется регистрировать в журнале событий, снять флаги.
Для события Удаление файла доступен специальный параметр Получить имя пользователя из uid. Если этот параметр включен, то при обработке записей, в которых отсутствует имя пользователя, связанного с событием, служба регистрации событий будет определять имя пользователя по идентификатору пользователя (uid). Этот параметр следует оставить включенным. Описание специальных параметров событий см. Специальные параметры регистрации события.
Для просмотра параметров игнорирования события (см. Параметры игнорирования события) необходимо раскрыть группу параметров Параметры игнорирования события, нажав [>]. Для события Удаление файла доступен параметр Путь к объекту. Этот параметр указывает расположение файлов, удаление которых не будет регистрироваться в журнале событий. Для редактирования параметра Путь к объекту необходимо дважды нажать в столбце Значение, внести изменения и нажать <Enter>.
Для события Удаление файла неоюходимо настроить параметры пользовательского аудита (см. Параметры пользовательского аудита) — выбрать пользователей/группы, удаление файлов которыми будет регистрироваться в журнале событий. В противном случае событие не будет регистрироваться. Для просмотра параметров пользовательского аудита необходимо раскрыть группу параметров Параметры пользовательского аудита, нажав [>], затем раскрыть пункт с условным наименованием события (для события Удаление файла это delete), нажав [>].
Для настройки пользовательского аудита необходимо:
- дважды нажать левой кнопкой мыши на строку Пользователи в столбце Значение;
- в открывшемся окне Пользователи установить флаги Успех и Отказ для всех пользователей, кроме
admin1; - нажать [Да].
Для просмотра параметров поиска события необходимо раскрыть группу параметров Параметры для поиска события, нажав [>]. Для события Удаление файла параметр Тип операции указывает, что служба syslog-ng будет осуществлять поиск записи об этом событии по ключевому слову «DELETE». Этот параметр не следует редактировать. Описание параметров поиска события см. Параметры поиска события.
Для сохранения изменений необходимо:
- нажать [Применить], при необходимости ввести пароль администратора;
- для вступления в действие настроек пользовательского аудита — перезагрузить систему.
Уведомление о событии
Для того чтобы включить уведомление о событии, необходимо:
- в главном окне программы правой кнопкой мыши нажать в строке события и в контекстном меню выбрать Включить отправку уведомлений. Будет открыто окно Отправка уведомлений;
- выбрать категорию пользователей, которые будут получать уведомления:
- все пользователи — установить переключатель в положение Отправлять уведомление всем пользователям;
- только администраторы — установить переключатель в положение Отправлять уведомление только администраторам;
- пользователь и группа, указанные в событии (
uidиgidсоответствующего системного вызова) — установить переключатель в положение Отправлять уведомление пользователю и группе, указанным в событии;
- в текстовом поле Заголовок ввести текст, который будет отображаться в заголовке окна уведомления;
- в секции Включить в текст уведомления установкой флагов выбрать параметры, которые будут включены в уведомление (имя, описание, время события и другие параметры, см. Параметры события, отображаемые в журнале);
- в секции Тип уведомления установкой флагов выбрать способы уведомления:
- Воспроизвести звук — уведомление будет сопровождаться проигрыванием указанного аудиофайла. При необходимости можно воспроизвести текущий аудиофайл, нажав кнопку воспроизведения.
Указать файл можно одним из следующих способов:- ввести полный путь к файлу в поле;
- нажать кнопку выбора файла и выбрать нужный файл в открывшемся окне;
- Воспроизвести звук — уведомление будет сопровождаться проигрыванием указанного аудиофайла. При необходимости можно воспроизвести текущий аудиофайл, нажав кнопку воспроизведения.
- Показать сообщение во всплывающем окне — будет отображаться всплывающее уведомление;
- Сохранить в файле журнала — информация о событии будет сохранена в указанном файле журнала событий. Указать файл можно одним из следующих способов:
- ввести полный путь к файлу вручную;
- нажать кнопку выбора файла и выбрать нужный файл в открывшемся окне;
- Выполнить программу — уведомление будет сопровождаться выполнением указанной программы. Указать исполняемый файл программы можно одним из следующих способов:
- ввести полный путь к программе и параметры для запуска;
- нажать кнопку выбора файла и выбрав нужный файл в открывшемся окне;
- для сохранения в окне Отправка уведомлений нажать [Да], затем в главном окне программы нажать [Применить], при необходимости ввести пароль администратора.
События, для которых включены уведомления, обозначаются в списке соответствующим значком.
Для редактирования настроек уведомления необходимо правой кнопкой мыши нажать в строке события и в контекстном меню выбрать Настройка уведомлений.
Для того чтобы выключить уведомление о событии, необходимо:
- нажатием правой кнопки мыши вызвать контекстное меню нужного события;
- в контекстном меню выбрать Отключить отправку уведомлений, при необходимости ввести пароль администратора.
Журнал регистрации событий
Основной и дополнительные журналы
По умолчанию события регистрируются в основном журнале событий, который доступен для просмотра в программе «Журнал системных событий» (см. справочную страницу «Журнал системных событий»).
При необходимости можно создать дополнительный журнал событий, расположенный в локальной файловой системе или на сервере в сети. События системы, зарегистрированные с момента создания дополнительного журнала, будут регистрироваться в основном журнале и дублироваться в дополнительном журнале. Для создания дополнительных журналов см. Дополнительные журналы.
Основной журнал
Текущая статистика
Для просмотра информации о размере основного журнала событий и свободном месте на диске необходимо нажать [Настройки] и в окне Общие параметры перейти во вкладку Ротация основного лога.
В секции Текущая статистика приведена следующая информация:
- текущий размер файла журнала событий;
- общее и свободное место на диске.
Количество файлов журнала
Основной журнал событий может записываться в один или несколько файлов в зависимости от настроек. При достижении максимального количества файлов:
- если файл один, то он перезаписывается новым файлом;
- если файлов несколько, то самый старый файл удаляется, затем создается новый файл для последующих записей.
Для того чтобы задать максимальное количество файлов журнала событий, необходимо:
- нажать [Настройки] и в окне Общие параметры перейти во вкладку Ротация основного лога;
- установить флаг Количество файлов;
- в соответствующем поле указать нужное значение.
Для того чтобы количество файлов журнала событий было неограниченным, необходимо снять флаг Количество файлов.
Для сохранения настроек необходимо нажать [Сохранить].
Максимальный размер файла журнала
Для ограничения пространства, занимаемого основным журналом событий на диске, можно задать максимальный размер одного файла журнала событий. Если используется только один файл журнала событий, то по достижении максимального размера он будет удален и вместо него будет создан новый файл. Если используется несколько файлов журнала событий, то по достижении максимального размера текущих файлов будет создан новый файл. Если достигнуто максимальное количество файлов журнала событий (см. Количество файлов журнала), то самый старый будет удален.
Для того чтобы задать максимальный размер файла журнала событий, необходимо:
- нажать [Настройки] и в окне Общие параметры перейти во вкладку Ротация основного лога;
- установить флаг Максимальный размер файла, Мб;
- в соответствующем поле указать нужное значение в мегабайтах.
Для того чтобы максимальный размер файла журнала событий был неограниченным, необходимо снять флаг Максимальный размер файла, Мб.
Для сохранения настроек необходимо нажать [Сохранить].
Период создания новых файлов журнала
Если необходимо, чтобы новые файлы журнала событий создавались по истечении определенного времени, то можно задать период ротации файлов журнала событий. При этом новый файл журнала событий будет создаваться через указанный промежуток времени независимо от размера старого файла. Если задано максимальное количество файлов журнала событий, то по достижении заданного количества файлов самый старый файл будет удален перед созданием нового.
Для того чтобы задать период создания новых файлов журнала событий на диске, необходимо:
- нажать [Настройки] и в окне Общие параметры перейти во вкладку Ротация основного лога;
- установить флаг Период ротации;
- из выпадающего списка выбрать период времени, по истечении которого будет создан новый файл журнала событий:
- День;
- Неделя;
- Месяц;
- Год;
- для сохранения настроек нажать [Сохранить].
Дополнительные журналы
Добавление локального журнала
При необходимости можно создать дополнительный журнал событий, расположенный в локальной файловой системе. События системы, зарегистрированные с момента создания дополнительного журнала, будут регистрироваться в основном журнале и дублироваться в дополнительном журнале.
Для создания дополнительного журнала событий в локальной файловой системе необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Точки назначения;
- нажать [+];
- в окне Добавление точки назначения:
- из выпадающего списка Тип выбрать Файл;
- в поле Имя ввести название дополнительного журнала событий. Название должно начинаться с латинской буквы и может содержать латинские буквы и цифры. Название ни на что не влияет и задается по усмотрению пользователя;
- в поле Адрес указать путь к файлу вручную либо нажать кнопку выбора файла, в открывшемся окне выбрать нужный файл и нажать [Открыть];
- нажать [Сохранить].
Добавление журнала в сети
При необходимости можно создать дополнительный журнал событий, расположенный на сервере в сети. Каталоги и файлы на сервере, в которых будет храниться журнал событий, определяются настройками сервера. События системы, зарегистрированные с момента создания дополнительного журнала событий, будут регистрироваться в основном журнале событий и дублироваться в дополнительном журнале событий.
Для создания дополнительного журнала событий в сети необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Точки назначения;
- нажать [+];
- в окне Добавление точки назначения:
- из выпадающего списка Тип выбрать Сеть;
- в поле Имя ввести название дополнительного журнала событий. Название должно начинаться с латинской буквы и может содержать латинские буквы и цифры. Название ни на что не влияет и задается по усмотрению пользователя;
- в поле IP-адрес указать адрес сервера, на который будет отправлен журнал событий;
- в поле Порт ввести номер порта;
- из выпадающего списка Протокол выбрать нужный протокол подключения;
- нажать [Сохранить].
Удаление журнала
Для удаления дополнительного журнала событий необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Точки назначения;
- выбрать из списка место хранения журнала событий, которое необходимо удалить;
- нажать [-];
- нажать [Сохранить].
Конфигурационный файл дополнительных журналов
Информация о местах расположения дополнительных журналов событий содержится в конфигурационном файле /etc/syslog-ng/conf.d/mod-astra.conf.
Для просмотра конфигурационного файла /etc/syslog-ng/conf.d/mod-astra.conf необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Точки назначения;
- в контекстном меню таблицы выбрать Открыть в редакторе.
Будет открыто окно Файл настройки событий.
При необходимости файл можно отредактировать в этом окне. Для сохранения изменений и возврата в окно программы необходимо нажать [Сохранить]. Для отмены изменений и возврата в окно программы необходимо нажать [Отмена].
Экспорт и импорт конфигурации
Для того чтобы экспортировать текущую конфигурацию регистрации событий в архив (с расширением *.tar.gz), необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Экспорт конфигурации;
- указать файл экспорта одним из способов:
- ввести путь и имя архива в поле Файл;
- нажать кнопку выбора файла, в открывшемся окне выбрать папку сохранения, ввести имя архива и нажать [Сохранить];
- в окне Общие параметры нажать [Сохранить], при необходимости ввести пароль администратора.
По завершении экспорта будет отображено окно Информация с сообщением об успешном завершении экспорта. Для возврата в окно программы необходимо нажать [Да].
Для того чтобы импортировать конфигурацию регистрации событий из архива (с расширением *.tar.gz), необходимо:
- нажать [Настройки];
- в окне Общие параметры перейти во вкладку Импорт конфигурации;
- указать импортируемый архив одним из способов:
- ввести путь и имя архива в поле Файл;
- нажать кнопку выбора файла, в открывшемся окне выбрать нужный архив и нажать [Открыть];
- в окне Общие параметры нажать [Сохранить], при необходимости ввести пароль администратора.
По завершении импорта будет отображено окно с предложением перезагрузить систему для применения изменений конфигурации. Для того чтобы перезагрузить систему сразу, необходимо нажать [Да]. Для того чтобы не перезагружать систему, необходимо нажать [Нет]. В этом случае произойдет остановка и повторный запуск службы регистрации событий.
Отмена всех несохраненных изменений
Для того чтобы отменить все несохраненные изменения настроек регистрации, необходимо нажать [Сбросить].