ТОР 5 статей:
Методические подходы к анализу финансового состояния предприятия
Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века
Характеристика шлифовальных кругов и ее маркировка
Служебные части речи. Предлог. Союз. Частицы
КАТЕГОРИИ:
- Археология
- Архитектура
- Астрономия
- Аудит
- Биология
- Ботаника
- Бухгалтерский учёт
- Войное дело
- Генетика
- География
- Геология
- Дизайн
- Искусство
- История
- Кино
- Кулинария
- Культура
- Литература
- Математика
- Медицина
- Металлургия
- Мифология
- Музыка
- Психология
- Религия
- Спорт
- Строительство
- Техника
- Транспорт
- Туризм
- Усадьба
- Физика
- Фотография
- Химия
- Экология
- Электричество
- Электроника
- Энергетика
Первоначальная настройка
Первоначальная (равно как и последующая) настройка программы выполняется специальным приложением, входящим в состав поставки или ручным редактированием файла config.ini.
Основными параметрами являются параметры сбора данных. Уровни сообщений. Одним из составляющих syslog-стандарта является указание, с каким уровнем идут сообщения. Исходя из этого, их можно разделять еще до детального анализа, что существенно ускоряет работу программы.
Ниже представлены начала трех основных обрабатываемых сообщений:
· Закрытия соединения (условием отбора является наличие подстроки event=conn_close)
<134>[2008-08-11 08:49:47] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close
<134>[2008-08-26 19:32:23] FW: CONN: prio=1 id=00600005 rev=1 event=conn_close_natsat action=close
· Отброшенных пакетов (условием является event=ruleset_drop_packet)
<132>[2008-08-11 07:49:21] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop
· Адресов НТТР (условием отбора является event=request_url)
<133>[2008-08-11 16:42:40] FW: ALG: prio=2 id=00200125 rev=1 event=request_url
Соответственно пакетам, внесите цифровые (на примерах выделены цветом) значения уровней.
Важно! Если неизвестно, с какими уровнями идут ваши сообщения, следует запустить приложение dfltcapp.exe – оно аналогично службе, но отображает лог на экран.
Сетевые настройки
Немаловажными являются сетевые настройки. Стандартным портом для получения syslog-сообщений является 514, однако он может быть изменен при необходимости.
Размер буфера определяется в байтах и зависит от активности обмена пакетами.
Период сохранения указывается в миллисекундах и в секунды переводится делением на 1000 (т.е., 5000 это 5 секунд).
Интерфейсы и SAT
На логику разбора пакетов очень сильно влияют параметры интерфейсов.
В списке соответствия адресов WAN интерфейсам вносят все внешние – на физических и логических WAN интерфейсах – IP адреса и соответствующие им интерфейсы. Такая привязка требуется из-за специфики обработки устройствами D- Link DFL HTTP-трафика – сначала получение с внешнего интерфейса устройством, а потом отдача в сеть от core. Сами списки WAN интерфейсов и их адресов необходимы для корректного определения направления трафика.
Если есть WAN интерфейсы, которые не вошли в предыдущий список по причине отсутствия статического IP адреса, внести их в соответствующий список.
Если на устройстве настроен логгинг некоторых дополнительных правил, не выпускающих пакеты в Интернет, то учитывать их не надо. Для этого служит список игнорируемых интерфейсов – если пакет содержит оба интерфейса из этого списка, он не будет обрабатываться. Необходимо включить туда «core» – сам роутер.
Параметры SAT предназначены для преобразования правил для порт-маппинга (SAT) в IP адреса внутренних компьютеров при логгировании Allow- правил.
Для разрешения SAT необходимы 2 правила – SAT, которое выполнит маппинг порта, и Allow, которое разрешит доступ к устройству. Соответственно, первое без второго не будет работать, а второе без первого – бесполезно.
Существует 2 варианта логгирования SAT – по SAT-правилам и по Allow.
В первом случае, включают Log для всех правил SAT. Это позволит сразу получать корректные адреса внешнего источника и внутреннего назначения.
Для случая, когда это выполнить в силу различных причин невозможно, предусмотрена поддержка Allow правил. Неудобство их учета заключается в том, что в правиле фигурируют IP адреса внешнего клиента и WAN-порта устройства. Для этого в настройках программы предусмотрен раздел «Параметры SAT», в котором для каждого Allow-правила из цепочек SAT необходимо указать внутренний IP адрес используемого сервера, какой указан в соответствующих правилах SAT.
Включают логгирование только либо SAT, либо Allow правил для одной цепочки правил порт-маппинга! Логгирование и тех и других может привести к неправильному отображению количества использованного трафика.
Если возникают трудности в момент настройки, то на этот период используют приложение вместо службы. Оно снабжено графическим интерфейсом с возможностью отображения, что позволяет контролировать работу комплекса.
В конце настройки надо проверить подключение при помощи соответствующей кнопки, а также перезапускать службу после каждого изменения конфигурации.
Не нашли, что искали? Воспользуйтесь поиском: