Журнал системных событий

Имя пакета: fly-event-viewer
Версия пакета: 1.0.3+ci8 и выше
Условия работы: вход в сессию с правами администратора

Общие сведения

Просмотр записей в журнале событий (файл /parsec/log/astra/events), печать и экспорт записей.

Настройка регистрации событий (типы регистрируемых событий, регистрируемые параметры событий) выполняется в программе «Настройка регистрации системных событий» (см. справочную страницу «Настройка регистрации системных событий»).

Запуск

Программа запускается:

  • в графическом интерфейсе:
    • через меню Пуск — Параметры — Регистрация событий и аудит — Журнал системных событий;
    • через классическое меню Пуск — Параметры — Безопасность — Журнал системных событий;
  • из терминала — выполнить команду:

sudo fly-event-viewer

Просмотр журнала

Выбор отображаемых данных

В журнале событий каждая запись о событии содержит набор параметров события, для каждого параметра указано его значение. В главном окне программы в виде таблицы отображаются записанные в журнале события, каждая строка таблицы соответствует событию, столбцы — его параметрам, в ячейках отображаются значения параметров.

Отображаемые в таблице параметры событий зависят от установленных флагов в выпадающем списке Отображаемые столбцы. По умолчанию отображаются:

  • — порядковый номер события в таблице;
  • Дата и время — дата и время события;
  • ID сообщения — уникальный текстовый идентификатор типа события;
  • Тип события — категория, к которой относится событие (например, события аудита или события сети);
  • Критичность — степень критичности события (отладка, информация, уведомление, предупреждение, ошибка, критический, тревога, авария);
  • Имя события — текст сообщения о событии.

Для отображения других параметров событий необходимо на панели инструментов раскрыть выпадающий список Отображаемые столбцы и установкой флагов выбрать необходимые параметры событий.

Параметры событий, которые записаны в журнале, но не соответствуют ни одному из доступных столбцов, отображаются в столбце Нераспознанная информация. Чтобы добавить столбцы для таких параметров, необходимо:

  • в каталоге /etc/fly-event-viewer/emp/ создать конфигурационный файл с расширением *.conf (если путь не существует, предварительно создать соответствующие каталоги);
  • для каждого параметра добавить в конфигурационный файл запись в формате JSON вида:

[
{ "name": "<имя_параметра>", "English": "<описание параметра на английском языке>", "Russian": "<описание параметра на русском языке>" }
]

  • сохранить созданный конфигурационный файл с расширением *.conf для применения изменений.

    Пример

    [
    { "name": "domainvm", "English": "Virtual machine ID", "Russian": "Идентификатор виртуальной машины" },
    { "name": "user", "English": "User", "Russian": "Пользователь" },
    { "name": "file", "English": "File", "Russian": "Файл" },
    { "name": "hostip", "English": "Hypervisor network address", "Russian": "Сетевой адрес гипервизора" }
    ]


ВНИМАНИЕ! Указанное имя параметра должно точно совпадать с именем параметра в журнале.

В качестве названия столбца будет использоваться описание параметра на русском или английском языке, в зависимости от языка системы. Созданный столбец будет доступен для выбора в выпадающем списке Отображаемые столбцы.

Информация о событии

Для просмотра подробной информации о событии необходимо нажать на соответствующую строку таблицы, затем на панели инструментов нажать [Детали события].

В открывшемся окне Детальная информация о событии будет отображена подробная информация о выбранном событии. Отображаемая информация зависит от типа события.

Для перехода к предыдущему или следующему событию необходимо нажать [Предыдущее сообщение] или [Следующее сообщение] соответственно.

Для печати информации о событии необходимо нажать [Печать сообщения], в открывшемся окне Печать задать необходимые параметры печати (см. справочную страницу «Печать файлов») и нажать [Печать].

Чтобы закрыть окно Детальная информация о событии, необходимо нажать [Закрыть].

Чтобы подробная информация о событии автоматически отображалась в главном окне программы при нажатии на событие, необходимо в меню выбрать Настройки и установить флаг Отображать подробную информацию.

Сводка событий

Для просмотра сводной информации о событиях за определенный период времени (последний час, день, неделю) необходимо в меню выбрать Лог — Сводка событий или на панели инструментов нажать [Сводка событий].

В открывшемся окне Сводка событий будет отображена таблица с информацией, сгруппированной по степени критичности событий (см. Выбор отображаемых данных). Таблица содержит следующие столбцы:

  • Критичность события — степень критичности событий;
  • Источник — инициатор события (например, служба или устройство);
  • Час — количество связанных с источником зарегистрированных событий за последний час;
  • День — количество связанных с источником зарегистрированных событий за последний день;
  • Неделя — количество связанных с источником зарегистрированных событий за последнюю неделю.

Отображаемая информация зависит от наличия конкретных зарегистрированных событий. Например, если события, соответствующие степени критичности ошибка, в журнале не зарегистрированы, то в таблице данная информация также будет отсутствовать.

Количество сообщений на странице

Для просмотра журнала системных событий используется постраничное отображение.

Для настройки количества событий на странице необходимо в меню выбрать Настройки — Настройки приложения. В открывшемся окне Настройки приложения в поле Сообщений на странице необходимо установить значение вручную или с помощью стрелок. Для сохранения настроек и возврата в главное окно программы необходимо нажать [Сохранить]. Для возврата в главное окно программы без сохранения настроек необходимо нажать [Отмена].

Для перехода между страницами с событиями необходимо:

  • нажать [Первая страница] для перехода на первую страницу;

  • нажать [Предыдущая страница] для перехода на предыдущую страницу;

  • нажать [Следующая страница] для перехода на следующую страницу;

  • нажать [Последняя страница] для перехода на последнюю страницу;

  • в поле ввести номер необходимой страницы.

Просмотр дополнительных журналов

Чтобы просмотреть дополнительный журнал системных событий (например, журнал другого компьютера), необходимо:

  • на панели инструментов нажать [Открыть журнал];

  • в открывшемся окне выбрать файл журнала и нажать [Открыть].

Выбранный журнал будет отображен в дополнительной вкладке.

Для повторного открытия ранее просматриваемого журнала перейти в меню Файл — Недавно открытые файлы и выбрать журнал из списка.

Фильтрация записей

Применение фильтра

Программа позволяет фильтровать записи журнала системных событий. Можно применить новый фильтр или использовать ранее сохраненный (см. Применение ранее сохраненного фильтра).

Для применения нового фильтра необходимо:

  • на панели инструментов нажать [Фильтрация сообщений];

  • в открывшемся окне Фильтрация сообщений:
    • из выпадающего списка Сохраненные фильтры выбрать Не выбран;
    • во вкладке Основные параметры — установкой флагов активировать необходимые поля и выпадающие списки, на основе значений которых требуется отфильтровать события (значение в поле вводится с помощью стрелок или клавиатуры, при заполнении поля также доступно контекстное меню):
      • Поиск — часть слова/слово/словосочетание для фильтрации событий по значению любого параметра и ключевым словам (например, если ввести в поле «сет», то в результатах фильтрации будут выведены записи, содержащие текст «Сетевое соединение недоступно», «Сетевое соединение установлено», «Управление автоматическим конфигурированием сетевых подключений» и т.п.). При необходимости можно искать только по словам целиком (т.е. не учитывать частичные совпадения слов) и с учетом регистра — для этого нажать кнопку расширенных настроек поиска и установить нужные флаги;

      • С — фильтрация событий, зарегистрированных после указанного времени;
      • По — фильтрация событий, зарегистрированных до указанного времени включительно;
      • ID сообщения — фильтрация по уникальному текстовому идентификатору типа события (например, syslog_ng_start или failed_authorization). Наименование идентификатора должно быть указано полностью;
      • Тип события — фильтрация по одной, нескольким или всем категориям событий (например, событиям системы или пользовательским событиям). Для включения/отключения фильтрации по всем категориям необходимо раскрыть выпадающий список Типы событий и установить/снять флаг Выбрать все;
      • Имя события содержит текстслово/часть слова/словосочетание для фильтрации событий по его названию (например, если ввести в поле «конфиг», то в результатах фильтрации будут выведены события «Конфигурация компонента программного обеспечения изменена», «Управление автоматическим конфигурированием сетевых подключений» и т.п.);
      • Имя события не содержитслово/часть слова/словосочетание для исключения из результатов фильтрации событий, названия которых содержат указанный текст (например, если ввести в поле «аудит», то в результатах фильтрации будут отсутствовать события «Добавление правила аудита», «Удаление правила аудита» и т.п.);
      • Критичность — фильтрация событий по степени критичности (отладка, информация, уведомление, предупреждение, ошибка, критический, тревога, авария).
        Примечание. Для очистки полей Поиск, ID сообщения, Имя события содержит текст и Имя события не содержит возможно использовать соответствующие кнопки;
    • во вкладке Дополнительные параметры — установкой флагов активировать дополнительные поля, на основе значений которых требуется отфильтровать события (значение вводится в поле с помощью стрелок или клавиатуры, при заполнении поля также доступно контекстное меню). Во вкладке доступны параметры фильтрации по ID группы, ID пользователя, ID процесса, а также событиям, относящимся к контролю целостности, и др.;
  • при необходимости сохранить фильтр:
    • нажать [Сохранить фильтр] или [Сохранить фильтр как];

    • в окне Сохранение фильтра в поле Имя фильтра ввести название фильтра и нажать [Сохранить].
  • нажать [Применить].

Результаты фильтрации будут отображены в главном окне программы в дополнительной вкладке. Если установлен флаг Отображать подробную информацию (см. Информация о событии), то в окне программы будет отображено название фильтра и значения фильтрации.

Примечание. Для быстрой фильтрации только по ID сообщения можно вызвать контекстное меню любого события с нужным ID и выбрать Отфильтровать по ID сообщения.

Сохраненный фильтр будет доступен для выбора в выпадающем списке Сохраненные фильтры.

Редактирование фильтра

Чтобы изменить ранее сохраненный фильтр, необходимо:

  • на панели инструментов нажать [Фильтрация сообщений];
  • в открывшемся окне Фильтрация сообщений:
    • из выпадающего списка выбрать нужный фильтр;
    • изменить необходимые параметры во вкладках Основные параметры и Дополнительные параметры (см. Применение фильтра);
    • для сохранения изменений:
      • в существующем фильтре — нажать [Сохранить фильтр], в открывшемся окне Сохранение фильтра нажать [Да] для подтверждения;

      • как новый фильтр с другим названием — нажать [Сохранить фильтр как], в открывшемся окне Сохранение фильтра в поле Имя фильтра ввести название фильтра и нажать [Сохранить].

Применение ранее сохраненного фильтра

Чтобы применить ранее сохраненный фильтр (см. Редактирование фильтра), необходимо:

  • на панели инструментов нажать [Фильтрация сообщений];

  • в открывшемся окне Фильтрация сообщений из выпадающего списка Сохраненные фильтры выбрать нужный фильтр и нажать [Применить].

Результаты фильтрации будут отображены в главном окне программы в дополнительной вкладке. Если установлен флаг Отображать подробную информацию (см. Информация о событии), то в окне программы будет отображено название фильтра и значения фильтрации.

Примечание. Для быстрой фильтрации только по ID сообщения можно вызвать контекстное меню любого события с нужным ID и выбрать Отфильтровать по ID сообщения.

Удаление фильтра

Для удаления сохраненного фильтра необходимо в окне Фильтрация сообщений выполнить следующие действия:

  • выбрать фильтр из выпадающего списка Сохраненные фильтры;
  • нажать [Удалить фильтр];

  • в открывшемся окне Удаление фильтра нажать [Да] для подтверждения.

Обновление отображаемых записей

По умолчанию отображаемые записи обновляются автоматически при каждом изменении файла основного журнала /parsec/log/astra/events.

Для выключения автоматического обновления записей необходимо на панели инструментов нажать [Остановка чтения лога].

Для включения автоматического обновления записей необходимо на панели инструментов нажать [Запуск чтения лога].

Копирование записей

Для копирования одной записи или нескольких записей, идущих подряд, необходимо выделить нужные записи кнопкой мыши, затем на панели инструментов нажать [Копировать].

ВНИМАНИЕ! При копировании одной записи копируется подробная информация о ней, а при копировании нескольких записей копируется только краткая информация, представленная в таблице.

Экспорт записей

Экспорт записей выполняется одним из следующих способов:

  • экспорт всех записей:
    • на панели инструментов нажать [Экспорт];

    • в окне Экспорт событий установкой переключателя выбрать вариант все сообщения и нажать [Экспорт];
    • в открывшемся окне Открыть файл выбрать путь сохранения, имя и формат файла (JSON, CSV или LOG);
    • нажать [Сохранить];
  • экспорт только записей на текущей странице:
    • на панели инструментов нажать [Экспорт];
    • в окне Экспорт событий установкой переключателя выбрать вариант сообщения с текущей страницы и нажать [Экспорт];
    • в открывшемся окне Открыть файл выбрать путь сохранения, имя и формат файла (JSON, CSV или LOG);
    • нажать [Сохранить];
  • экспорт только выбранных записей:
    • в главном окне программы выбрать записи;
    • на панели инструментов нажать [Экспорт];
    • в окне Экспорт событий установкой переключателя выбрать вариант выбранные сообщения и нажать [Экспорт];
    • в открывшемся окне Открыть файл выбрать путь сохранения, имя и формат файла (JSON, CSV или LOG);
    • нажать [Сохранить].

Печать записей

Печать записей выполняется одним из следующих способов:

  • печать всех записей:
    • на панели инструментов нажать [Печать];

    • в открывшемся окне Печать событий установкой переключателя выбрать вариант все сообщения и нажать [Печать];
    • в открывшемся окне Печать задать параметры печати (см. справочную страницу «Печать файлов») и нажать [Печать];
  • печать только записей на текущей странице:
    • на панели инструментов нажать [Печать];
    • в открывшемся окне Печать событий установкой переключателя выбрать вариант сообщения с текущей страницы и нажать [Печать];
    • в открывшемся окне Печать задать параметры печати (см. справочную страницу «Печать файлов») и нажать [Печать];
  • печать только выбранных записей:
    • в главном окне программы выбрать записи;
    • на панели инструментов нажать [Печать];
    • в открывшемся окне Печать событий установкой переключателя выбрать вариант выбранные сообщения и нажать [Печать];
    • в открывшемся окне Печать задать параметры печати (см. справочную страницу «Печать файлов») и нажать [Печать].

Печать детальной информации о событии см. Информация о событии.

Очистка таблицы записей

Отображаемые записи о событиях хранятся в памяти программы. Для очистки памяти программы необходимо на панели инструментов нажать [Очистить таблицу].

ВНИМАНИЕ! Если открыто несколько журналов, будут очищены только записи журнала в активной вкладке.

При очистке таблицы сам файл журнала не изменяется.

После очистки можно обновить таблицу записей, нажав на панели инструментов [Обновить лог].

При обновлении таблицы записей в ней будут отображены актуальные данные из файла журнала.

Информация о журнале

Для просмотра подробной информации о журнале необходимо на панели инструментов нажать [Показать информацию о журнале] или в меню выбрать Лог — Показать информацию о журнале.

Будет открыто окно Информация о журнале, содержащее следующую информацию:

  • Имя журнала — полный путь к файлу журнала;
  • Размер журнала — текущий размер файла журнала в мегабайтах;
  • Время создания и Время изменения;
  • Схема ротации — максимальный размер одного файла журнала. Количество файлов журнала и другие настройки ротации задаются в графической утилите «Настройка регистрации системных событий» (см. справочную страницу «Настройка регистрации системных событий»).

Уведомление о событии

Для настройки уведомления о событии необходимо правой кнопкой мыши нажать в строке события и в контекстном меню выбрать Включить отправку уведомлений. Будет запущен модуль «Настройка регистрации системных событий» программы «Параметры системы» с открытым окном настройки уведомления о событии (см. справочную страницу «Настройка регистрации системных событий»).

Для изменения настроек включенного уведомления о событии необходимо правой кнопкой мыши нажать в строке события и в контекстном меню выбрать Настройка уведомлений. Будет запущен модуль «Настройка регистрации системных событий» программы «Параметры системы» с открытым окном настройки уведомления о событии.

Для отключения уведомления о событии необходимо правой кнопкой мыши нажать в строке события и в контекстном меню выбрать Отключить отправку уведомлений. Уведомление о событии будет отключено, при этом модуль «Настройка регистрации системных событий» программы «Параметры системы» запускаться не будет.