Для чего нужны журналы и анализ

Постоянная, как можно более подробная регистрация событий является важнейшей функцией любого средства обеспечения безопасности. Программный комплекс WinRoute ведет одновременно шесть журналов, регистрируя в них все информационные потоки, в той или иной степени затрагивающие межсетевой экран, включая проходящие через него пакеты, действия пользователя, процесс фильтрации и т.д. Характеристики всех журналов представлены в приведенной ниже таблице:


Журнал HTTP	Отображает только информационные потоки, проходящие через прокси-сервер WinRoute по протоколу HTTP, включая IP-адрес и идентификатор отправителя, временную метку, запросы и ответы по HTTP
Почтовый журнал	Регистрирует все операции, выполненные встроенным почтовым сервером WinRoute, записывает действия по отправке/приему почты в протоколах SMTP и POP3
Протокол юезопасности	Фиксирует все действия по выполнению команд "записывать в файл защиты" или "регистрировать в окне защиты" в процессе фильтрации пакетов (далее см. подробное описание регистрации событий)
Журнал звонков	Фиксирует сведения об использовании телефонных интерфейсов, находящихся под наблюдением WinRoute
Журнал отладки	В соответствии с натройками по выбору пользователя регистрация всех пакетов по протоколам ARP, ICMP, UDP, TCP и/или DNS, физически проходящих через любой интерфейс маршрутизатора WinRoute. Тонкая настройка осуществляется из меню Настройки \| Дополнительно \| Сведения об отладке, вкладка "Отладка".
Журнал ошибок	Регистрирует все сбои, происходящие в любом модуле WinRoute во время выполнения тех или иных операций

Результаты протоколирования могут выводиться на пульт управления программы WinRoute Administrator, записываться в файл или фиксироваться обоими способами. Файлы журналов хранятся в каталоге \%installroot%\Logs, доступном только из учетных записей, открытых в Windows NT/2000 для администраторов, операторов серверов, СИСТЕМНОГО АДМИНИСТРАТОРА и СОЗДАТЕЛЯ-ВЛАДЕЛЬЦА, установившего программный комплекс WinRoute.

Сведения, записываемые в журнал защиты WinRoute, весьма обширны и включают в себя все данные, необходимые для проведения расследования по факту потенциально злонамеренных действий:

Дата

Время

Примененное правило фильтрации пакетов

Интерфейс

Предпринятое действие (разрешить, игнорировать или запретить)

Протокол

IP-адрес и TCP-порт отправителя

IP-адрес и TCP-порт адресата

Тестирование в самых неблагоприятных условиях интенсивного трафика никак не влияет на способность программного комплекса WinRoute вести протоколирование, что крайне важно, чтобы избежать потери данных, необходимых для проведения расследования, а также для смягчения последствий возникновения ситуаций, приводящих к отказу в обслуживании путем блокирования функций межсетевого экрана в результате перегрузки системы протоколирования.