Kerio WinRoute Firewall 6.0

         

Лог-файл фильтра


Данный лог-файл содержит информацию о ресурсах и объектах, которые были заблокированы HTTP и FTP фильтрами (см. главу   URL Rules

и  FTP Policy). А также информацию о пакетах, которые были блокированы правилами трафика, если активирован packet logging для данного правила (см. главу  Traffic Policy). Каждая строка лог-файла содержит следующую информацию в зависимости от объекта, на основе работы которого сгенерирован лог:

  • При использовании HTTP или FTP правила, в лог-файл входит следующая информация: имя правила, имя пользователя, IP адрес хоста с которого был послан запрос, URL объекты

  • При использовании правила трафика, в лог-файл входит следующая информация: подробные данные о пакете, который соответствует данному правилу (имя правила, адрес отправителя и получателя, порты, размер и т.д.)

Пример лог-файла  URL правила:

[18/Apr/2003 13:39:45] ALLOW URL 'McAfee update'

 192.168.64.142 james HTTP GET

 http://update.kerio.com/nai-antivirus/datfiles/4.x/dat-4258.zip

  • [18/Apr/2003 13:39:45] — дата и время события

  • ALLOW — выполненное действие (ALLOW = доступ разрешен, DENY = доступ запрещен)

  • URL — тип правила (для URL или FTP)

  • 'McAfee update' — название правила

  • 192.168.64.142 — IP адрес клиента

  • jsmith — имя пользователя, идентифицированного посредством брэндмауера (ни одно имя не будет отражаться, до тех пор, пока хоть один пользователь не вошел в систему с отдельного хоста)

  • HTTP GET — HTTP метод, который использовался в запросе

  • http:// ... — запрашиваемый URL адрес



Пример лог-файла для правила трафика:

[16/Apr/2003 10:51:00] PERMIT 'Local traffic' packet to LAN,

 proto:TCP, len:47, ip/port:195.39.55.4:41272 ->

 192.168.1.11:3663, flags: ACK PSH , seq:1099972190

 ack:3795090926, win:64036, tcplen:7

  • [16/Apr/2003 10:51:00] — дата и время события

  • PERMIT — действие, совершенное с пакетом (PERMIT, DENY или DROP)

  • Local traffic — название правила

  • packet to — направление пакета (или to (к) или from (от) определенного интерфейса)

  • LAN — название интерфейса (см. главу  Interfaces)

  • proto: — тип транспортного протокола (TCP, UDP и т.д.)

  • len: — размер пакета в байтах (включая заголовки)

  • ip/port: — IP адрес и порт отправителя, IP адрес и порт получателя

  • flags: — TCP флаги

  • seq: — порядковый номер пакета (только TCP)

  • ack: — порядковый номер подтверждения (только TCP)

  • win: — размер полученного окна в байтах (это нужно для потокового управления данными — только TCP)

  • tcplen: — размер важной информации в TCP пакете (т.е. размер информационной части пакета в байтах — только TCP)



Содержание раздела