Сервис DeviceLock : Управление сервисом DeviceLock для Windows : Настройки сервиса : Алерты : Настройки алертов: Syslog
  
Настройки алертов: Syslog
На вкладке Syslog диалогового окна Настройки алертов можно настроить параметры для отправки оповещений на сервер syslog.
Чтобы открыть это диалоговое окно, выполните одно из следующих действий:
В дереве консоли щелкните правой кнопкой мыши Алерты и выберите Управление.
В дереве консоли выберите Алерты и нажмите Управление на панели инструментов.
В дереве консоли выберите Алерты, а затем на панели сведений щелкните правой кнопкой мыши Syslog и выберите Управление.
В дереве консоли выберите Алерты, а затем на панели сведений дважды щелкните Syslog.
 
Примечание: Можно настроить различные параметры тревожных оповещений для оперативного и автономного режимов. Настройки оперативного режима (обычный профиль) применяются к клиентским компьютерам, находящимся в сети. Настройки автономного режима (офлайн-профиль) применяются к клиентским компьютерам, работающим автономно. По умолчанию DeviceLock работает в автономном режиме, когда сетевой кабель не подключен к клиентскому компьютеру. Для получения дополнительной информации о политиках DeviceLock для автономного режима работы, см. раздел Политики безопасности DeviceLock (офлайн-профиль).
Можно настроить сервис DeviceLock на автоматическую отправку тревожных оповещений на указанный сервер syslog при возникновении условий срабатывания. Отправка оповещений происходит только при соблюдении следующих условий:
Сервер syslog настроен и готов к приему оповещений.
Удаленный компьютер, на котором запущен сервер syslog, доступен со всех компьютеров, на которых работает сервис DeviceLock.
Настроена отправка тревожных оповещений на сервер syslog.
DeviceLock поставляется с набором готовых шаблонов тревожных оповещений для отправки на сервер syslog. Эти шаблоны определяют основное содержимое, формат и структуру оповещений. DeviceLock предоставляет следующие шаблоны:
Шаблон сообщения syslog для административных оповещений.
Шаблон сообщения syslog для прочих оповещений.
Каждый шаблон содержит следующие данные:
Тело сообщения - Текст, отображаемый в теле сообщения syslog. Текст сообщения совпадает в обоих шаблонах и включает в себя статичный текст и макросы. Статичный текст по умолчанию: “Зарегистрировано следующее событие”. В тело сообщения можно вставить дополнительные сведения, используя следующие макросы:
%EVENT_TYPE% - Класс события (Успех для разрешенной попытки доступа, Отказ для запрещенной попытки доступа, Информация для прочих событий).
%COMP_NAME% - Имя компьютера, от которого получено событие.
%COMP_FQDN% - Полное доменное имя компьютера, от которого получено событие.
%COMP_IP% - Список всех IP-адресов компьютера, разделенных запятой.
%DATE_TIME% - Дата и время, когда событие было получено сервисом DeviceLock. Дата и время указываются в соответствии с региональными и языковыми настройками на клиентском компьютере.
%SOURCE% - Тип устройства или протокола, с которым связано событие.
%ACTION% - Тип действия пользователя.
%NAME% - Имя объекта (файла, USB-устройства и т.п.).
%INFO% - Прочая информация об устройстве, связанном с событием, например флаги доступа, название устройства и так далее.
%REASON% - Причина возникновения события.
%USER_NAME% - Имя пользователя, связанного с событием.
%USER_SID% - Идентификатор безопасности (SID) пользователя, связанного с данным событием.
%PROC_NAME% - Имя процесса приложения, связанного с данным событием.
%PROC_ID% - Идентификатор процесса приложения, связанного с событием.
%EVENT_ID% - Число, идентифицирующее тип события.
%SUMMARY_TABLE% - Таблица с детализацией отдельных событий для агрегированных алертов.
Эти макросы заменяются на фактические значения во время создания сообщения.
Заполните вкладку Syslog следующим образом:
Подключение - Введите информацию о сервере syslog:
Сервер - Доменное имя или IP адрес сервера syslog.
Протокол - Протокол доступа к серверу syslog, TCP или UDP. По умолчанию выбран протокол UDP.
Порт - Номер порта для доступа к серверу syslog. Порт по умолчанию - 514.
Разделение сообщений - Способ формирования сообщений для протокола TCP. Можно выбрать: Нулевой байт, LF, CR+LF или Длина сообщения.
Параметры - Задайте следующие параметры подключения:
Имя - Уникальное имя для канала связи с сервером syslog. По умолчанию используется имя DeviceLockAlert.
Код категории - Одно из стандартных значений сервера syslog (от 0 до 23) для указания типа программы, которая записывает сообщения в журнал.
Размер сообщения - Размер syslog-сообщения, в байтах. Размер по умолчанию - 65535 байт.
Задать сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений syslog для оповещений.
В появившемся диалоговом окне Syslog-сообщение для алертов можно также:
Выбрать степень серьезности сообщения из списка Уровень.
Загрузить шаблон сообщения из текстового файла, использующего символы табуляции в качестве разделителя. Нажмите кнопку Загрузить, и выберите файл. Будет загружено все содержимое файла.
Восстановить шаблон по умолчанию. Для этого нажмите кнопку Восстановить умолчания.
Задать админ. сообщение - Нажмите эту кнопку, чтобы настроить шаблон сообщений syslog для административных оповещений.
В появившемся диалоговом окне Syslog-сообщение для административных алертов можно также:
Выбрать степень серьезности сообщения из списка Уровень.
Загрузить шаблон сообщения из текстового файла, использующего символы табуляции в качестве разделителя. Нажмите кнопку Загрузить, и выберите файл. Будет загружено все содержимое файла.
Восстановить шаблон по умолчанию. Для этого нажмите кнопку Восстановить умолчания.
Порог - Задайте временной интервал (в часах, минутах или секундах) для объединения событий при отправке алертов. Сервис DeviceLock объединяет события, произошедшие в течение порогового времени, и создает объединенное событие при выполнении следующих условий:
a) События относятся к одному типу (Успех, Отказ или Информация).
b) События регистрируются для одного и того же типа устройств/протокола.
c) События связаны с одним и тем же пользователем.
d) События связаны с одним и тем же PID.
Значение по умолчанию - 10 минут.
 
Примечание: При отправке уведомлений сервис DeviceLock объединяет только события, связанные с доступом. Административные оповещения не объединяются.
Тест - Отправьте тестовое сообщение, чтобы проверить правильность настройки. В результате тестовой операции отобразится одно из двух сообщений:
Если тест выполнен успешно, т.е. пробное сообщение отправлено с настроенными для него параметрами, сообщение будет следующим: “Тестовый алерт Syslog успешно отправлен.”
Если тест не выполнен, т.е. пробное сообщение отправить не удалось, сообщение будет следующим: “Тестовый алерт Syslog не был отправлен из-за ошибки: <описание ошибки>.”