Настройка статистики системы

12-0 Просмотр статистики системы

Что такое файл системной статистики?

Файл статистики - это место, в котором межсетевой экран хранит всю информацию о полученных им пакетах. Он включает записи, генерируемые тремя главными модулями: пакетным фильтром, транслятором сетевых адресов, а также модулем шифрования и аутентификации. Характер хранящейся в журнале информации зависит от настроек межсетевого экрана, но главным образом в нем содержится информация о пропущенных и не пропущенных пакетах, ошибках в пакетах, а также информация о трансляции сетевых адресов.

Повидимому, самой ценной является информация об отброшенных и не пропущенных пакетах, так как именно на основании их анализа можно обнаружить попытки вторжения, использование несанкционированных сервисов, ошибки в конфигурациях и т.д.

Что такое фильтр системы сбора статистики?

Даже если система настроена таким образом, чтобы регистрировать всю поступающую информацию, нас обычно интересует только определенная часть этих данных (пусть, например, мы хотим проанализировать попытки использования сервиса POP3 конкретной машиной за несколько дней, причем как успешные, так и неудачные). Фильтр системы сбора статистики - это механизм, поддерживаемый межсетевым экраном Aker, который предназначен для просмотра определенного подмножества зарегистрированных данных и позволяет легко отыскать нужную информацию.

Фильтр разрешает только просматривать информацию, записанную в файле статистики. Если вы хотите получить более специфическую информацию, сначала надо настроить систему для ее регистрации, а затем использовать фильтр для ее просмотра.

12-1 Использование графического интерфейса пользователя.

Для получения доступа к окну просмотра, надо выполнить следующие действия:

Выберите пункт Вид в главном окне
Выберите опцию Статистика

Окно фильтрации статистики

Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:

В верхней части окна расположены кнопки Сохранить и Удалить. Кнопка Сохранить позволяет сохранить поля фильтра в нужном порядке для дальнейшего использования и кнопка Удалить позволяет удалить сохраненные ранее фильтры.

Для сохранения фильтра статистики необходимо:

Заполнить необходимые поля.
Ввести в поле Фильтры имя сохраняемого фильтра
Нажать кнопку Сохранить.

Для использования сохраненного фильтра необходимо выбрать его имя в поле Фильтры и все поля будут автоматически заполнены сохраненными данными.

Для удаления фильтра необходимо:

Задать имя фильтра в поле Фильтры.
Нажать кнопку Удалить.

По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Начальная дата и Конечная дата, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).

Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями IP источника/ Маска источника. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля IP назначения и Маска назначения. Кнопки Фильтр по IP адресам и Фильтр по объектам позволяют выбрать способ фильтрации: если задана опция Фильтр по IP адресам, будут высвечены 4 поля - IP источника, Маска источника, IP назначения и Маска назначения. Эти поля можно использовать для определения групп источника или назначения. Если установлена опция Фильтр по объектам , будут высвечены 2 поля - Объекты источника и Объекты назначения. В этом случае возможно задать один объект в каждом из этих полей и они будут использоваться для определения групп источника или назначения.

Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Порт назначения или тип сервиса. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.

Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.

Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.

Действия:

Описывает действие системы над пакетом. Возможны следующие опции:

Любой

Показывает все пакеты.

Принятые

Показывает только пропущенные пакеты.

Не принятые

Показывает только блокированныете пакеты

Отброшенные

Показывает только отброшенные пакеты.

Транслированные

Показывает только сообщения, связанные с трансляцией адресов пакетов. Приоритет:

Различные типы сообщений имеют разные приоритеты. Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщеня в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).

Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.

Любой

Показывает записи с любым приоритетом.

Предупреждение

Записи с этим приоритом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ощибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии.

Замечание

Как правило, записи с этим приоритом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил. Иногда им предшествуют более поясняющие суть события сообщения.

Информация

Записи с этим приоритом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритом генерируются пакетами, пропущенными межсетевым экраном.

Отладка

Записи с этим приоритом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов Модуль:

Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.

Протокол:

Это поле описывает протокол для выводимых записей. Допустимы следующие опции:

Любой

Показывает записи с любым протоколом.

Показывает только записи, относящиеся к TCP пакетам.

TCP/SYN

Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN).

Показывает только записи, относящиеся к UDP пакетам.

ICMP

Показывает только записи, относящиеся к ICMP пакетам.

Другие

Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Порт назначения или Тип сервиса. Кнопка Да накладывает выбранный фильтр и показывает окно стстистики с выбранной информацией.
Кнопка Отменить отменяет действие фильтра и параметры в окне статистики возращаются к прежним значениям. Кнопка Помощь выводит подсказку по данному разделу

Окно статистики

Окно статистики появляется после наложения нового фильтра. Оно состоит из списка со множеством элементов. Каждый элемент имеет свой формат, зависящий от типа сообщения и от протокола. Кроме того, некоторым элементам предшествует специальное сообщение в текстовой форме с дополнительной информацией о записи (значения каждого типа записи рассматриваются в следующем разделе).

Важные замечания:

Одновременно выводится группа из 100 записей.
Можно вывести только первые 10 000 записей, которые соответствуют выбранному фильтру. Другие записи можно просмотреть, если перенести журнал регистрации в файл или использовать фильтр для генерации более поздних записей.
С левой стороны от каждого сообщения будет показан цветной значок, представляющий его приоритет. Цвета имеют следующие значения :

Синий Отладка
Зеленый Информация
Желтый Замечание
Красный Предупреждение

Если нажать левой клавишей мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о записи.

Значение кнопок в окне статистики

Кнопка Да закрывает окно статистики
Кнопка обновить активизирует автоматическое обновление выведенной информации. После первого нажатия на эту кнопку активизируется автоматическое обновление. Для ее сброса снова нажмите на эту кнопку. Интервал обновления можно настроить в поле Автоматическое обновление.
Кнопка Фильтр открывает окно фильтрации статистики, описанное выше.
Кнопка Удалить все удаляет все содержимое файла статистики. Если нажать эту кнопку, появится следующее окно для подтвержденя:

Нажмите Да для удаления все статистики и Нет для отказа от операции.
При удалении содержимого файла статистики восстановить стертую информацию можно только с резервной копии.

Кнопка Уплотнить позволяет уплотненить файл регистрации. Из файла удаляются все элементы, которые старше срока жизни файла статистики (смотрите главу 4 Настрока параметров системые), что улучшает время доступа. Этот процесс выполняется сервером статистики в фоновом режиме, и во время его выполнения просматривать статистику нельзя.

Если нажать эту кнопку, откроется следующее окно:

Кнопка Сохранить сохраняет выбранную информацию с помощью текущего фильтра в файл в ASCII формате. Этот файл разбит на строки, соответствующие строкам на экране.

Рассматриваемая опция очень полезна для отсылки копии данных регистрации другому лицу или для сохранения копии некоторых важных данных в текстовом виде. Если нажать эту кнопку, откроется следующее окно:

Чтобы экспортировать содержимое файла статистики, введите имя создаваемого файла и нажмите кнопку Сохранить. Для отмены операции нажмите кнопку Отмена
Если уже существует файл с таким именем, он будет заменен.

Кнопка << Пред 100 показывает последующие 100 записей. Если не существует последующих записей, опция будет недоступна.
Кнопка След 100 >> показывает предыдующие 100 записей. Если не существует предыдующих записей, опция будет недоступна.
Кнопка Помощь показывает окно помощи по данному разделу.

12-2 Формат и значения полей записей в файле статистики

Ниже дано описание формата каждой записи, сопровождаемое описанием каждого поля. Формат записей одинаков как для графического интерфейса, так и для интерфейса командной строки.

Записи пакетного фильтра или криптографического модуля

Любая запись может появляться с предшествующим ей специальным сообщением. Полный список всех возможных сообщений и их смысл приводится в Приложении А.

TCP протокол

Формат записей :

<Date> <Time> - <(Repetition)> <Action TCP> <(Status)> <Source IP> <Souce port> <Destination IP> <Destination port> <Flags ><Interface>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет
E: Зашифрованный пакет
S: Пакет использует обмен ключей через SKIP протокол Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A:Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Destination IP : IP адрес назначения пакета.
Destination port: Номер порта назначения пакета.
Flags: Флаги TCP протокола, присутствующие в пакете. Это поле содержит один из шести независимых символов. Наличие символа показывает наличие соответствующего флага в пакете. Символы имеют следующие значения: S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer) Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 12:00:00 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0 Source routed IP packet
01/01/1970 12:00:02 - (02) D TCP 10.0.0.1 1024 10.4.1.1 23 S de0

UDP протокол

Формат записи:

<Date> <Time> - <(Repetition)> <Action TCP> <(Status)> <Source IP> <Souce port> <Destination IP> <Destination port> <Interface>

Описание полей:

Date: Дата создания записи.
Time:Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status):Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

Примеры:

01/01/1970 14:09:23 - (02) A UDP 10.5.1.1 1024 10.2.2.1 53 de1
Packet was received from an invalid interface
01/01/1970 14:10:02 - (02) D UDP 10.0.0.1 1024 10.4.1.1 23 de0

ICMP протокол

Формат записи:

<Date> <Time> - <(Repetition)> <Action> ICMP <(Status)> <Source IP> <Destination IP> <Type of Service> <Interface>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition):Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action:Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R:Пакет был отброшен. Source IP: IP адрес источника пакета.
Destination IP : Номер порта источника пакета.
Type of Service:Тип ICMP сервиса пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 14:09:23 - (01) A ICMP 10.5.1.1 10.2.2.1 8 de0
01/01/1970 14:09:24 - (01) A ICMP 10.2.2.1 10.5.1.1 0 de1

Другие протоколы

Формат записи:

<Date> <Time> - <(Repetition)> <Action> <Protocol> <(Status)> <Source IP> <Destination IP> <Interface>

Описание полей:

Date:Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
(Status): Это поле указывается в скобках и состоит из одного из трех независимых символов, означающих:

A: Аутентифицированный пакет.
E: Зашифрованный пакет.
S: Пакет использует обмен ключей через SKIP протокол. Action: Поле описывает действие системы в отношении пакета. Возможны следующие значения: A: Пакет был пропущен межсетевым экраном.
D: Пакет был блокирован.
R: Пакет был отброшен. Protocol: Имя протокола пакета. (Если межсетевой экран не может найти имя протокола, вместо него будет указан его номер.)
Source IP: IP адрес источника пакета.
Destination IP : IP адрес назначения пакета.
Interface: Сетевой интерфейс, из которого прибыл пакет.

Примеры:

01/01/1970 17:19:43 - (01) A EGP 10.5.1.1 10.2.2.1 de1
01/01/1970 18:39:24 - (01) D 57 10.2.2.1 10.5.1.1 de0

Сообщения модуля трансляции адресов

Формат записи:

<Date> <Time> - <Repetition T> <Protocol> <Source IP> <Source port> <Translated IP> <Translated port>

Описание полей:

Date: Дата создания записи.
Time: Время создания записи.
(Repetition): Число последовательных повторов записи. Это поле указывается в скобках.
Protocol: Тип протокола пакета. Это может быть TCP или UDP.
Source IP: IP адрес источника пакета.
Source port: Номер порта источника пакета.
Translated IP: IP адрес, в который был транслирован адрес источника пакета
Translated port: Порт, в который был транслирован порт источника

Примеры:
01/01/1970 17:59:45 - (01) T TCP 10.0.0.1 1024 200.239.39.3 10001
01/01/1970 18:00:00 - (01) T UDP 10.0.0.2 1045 200.239.39.3 10001

12-3 Использование интерфейса командной строки

Интерфейса командной строки обеспечивает те же возможности по просмотру статистики, что и графический интерфейса, однако в нем можно использовать меньшее количество опций фильтрации. Кроме того, через интерфейс командной строки невозможно просмотреть дополнительную информацию, которая появляется при выделении записи файла статистики в графическом интерфейсе.

Путь к программе: /etc/firewall/fwlog

Syntax:

fwlog help
fwlog [compact | clear] [log | events]
fwlog show [log | events] <begin_date><end_date> [priority]

Program help:

Aker Firewall - Version 3.01
fwlog - интерфейс командной строки для просмотра статистики и событий
Использование: fwlog help
       fwlog [compact | clear] [log | events]
       fwlog show [log | events] <begin_date> <end_date> [priority]

       show       = показывает содержимое файла статистики или событий
       clear      = очищает  файлы статистики им событий от записей
       compact    = уплотняет файл статистики или событий
       help       = показывает данное сообщение

Для команд compact / clear / show :
       log        = действие выполняется с файлом статистики
       events     = действие выполняется с файлом событий

Для команды show:
       begin_date = дата, начиная с которой будут показаны записи
       end_date   = дата, по которую будут показаны записи 
                    (даты должны иметь формат mm/dd/yyyy)
       priority   = необязательный аргумент. Если он задан, он может  
        принимать следующие значения: ERROR, WARNING, NOTICE, INFORMATION или DEBUG 
        (Если приоритет задан, будут показаны записи только с этим приоритетом)

Пример 1: (Просмотр статистики за один день 07/07/1997) 07/07/1997)

#fwlog show log 07/07/1997 07/07/1997

07/07/1997 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/1997 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/1997 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/1997 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0
07/07/1997 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
07/07/1997 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1
07/07/1997 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0
07/07/1997 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0

Пример 2: (Просмотр статистики за один день 07/07/1997 с приоритетом notice)

#fwlog show log 07/07/1997 07/07/1997 notice

07/07/1997 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0
07/07/1997 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/1997 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/1997 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0

Пример 3: (уплотнение файла статистики)

#fwlog compact log