Системный журнал

Во вкладке Системный журнал представлены записи аудита для различных групп событий, выбираемых администратором в выпадающем меню (Рисунок 45):

• ids_integrity.log – журнал регистрации контроля целостности файлов СОВ (Рисунок 46);

• audit.log – журнал для регистрации действий администратора по изменению решающих правил и записей аудита (Рисунок 47);

• auth_priv.log – в этом журнале регистрируется доступ администратора к ОО и выход из него (Рисунок 48);

• oinkmaster.log – журнал регистрации обновлений базы решающих правил (Рисунок 49);

Примечание

В журнале oinkmaster.log может содержаться информация об изменении того или иного правила, включающая подробную дифференциацию произведенных изменений (Рисунок 50). По умолчанию данная настройка выключена. Для включения протоколирования произведенных изменений в базе решающих правил администратору необходимо получить доступ к консоли и отредактировать файл /etc/init.d/ids, заменив строку DIFFRULES=false на DIFFRULES=true.

В случае первого старта системы или же если образцы правил были удалены, будет выдано сообщение вида:

Nov 27 12:44:05 sterra-ids oinkmaster: No previous version of rules, nothing to compare.

• suricata.log – системные сообщения аудита Продукта, включенные в группы событий по степени важности (Рисунок 51):

• emerg – аварийные сообщения

• alert – тревожные сообщения

• crit – критические сообщения

• err – сообщения об ошибках

• warning – предупреждения

• notice – извещения

• info – информационные сообщения

• debug – отладочные сообщения.