При настройке длительности хранения событий и выборе типов событий для записи нужно учитывать доступное дисковое пространство на обрабатывающих серверах.
Параметры записи событий в журнал событий не влияют на параметры записи событий по протоколу Syslog.
Чтобы настроить параметры записи в журнал событий:
В окне веб-интерфейса приложения выберите раздел Параметры → Журналы и события → События.
В блоке События почтового трафика выполните следующие действия:
В блоке параметров Записывать события обработки трафика выберите, какие события обработки трафика должны быть записаны в журнал событий. Вы можете выбрать один из следующих вариантов:
Все.
Применено действие Удалить сообщение/Удалить вложение/Отклонить.
Не записывать.
По умолчанию выбрано значение Все.
Выбранное значение параметра применяется только к событиям, записанным в журнал событий после применения изменений. К событиям, которые были записаны в журнал ранее, новое значение параметра не применяется. Выбранное значение параметра применяется на всех узлах кластера.
В блоке параметров Записывать информацию о проверке ссылок и MIME-частей выберите, какие данные должны быть записаны в журнал событий по результатам проверки ссылок и MIME-частей модулями Антивирус, Контентная фильтрация, Проверка ссылок и Анти-Фишинг.
Вы можете выбрать один из следующих вариантов:
Только для сообщений, на MIME-частях которых сработали модули проверки.
В журнал будут записаны данные о проверке каждой MIME-части всех сообщений и каждой ссылки, в которых сработали модули проверки.
Считается, что модули проверки сработали на ссылке, если в результате проверки ей присвоен один из следующих статусов:
Модуль Анти-Фишинг: Фишинг, Ошибка.
Модуль Проверка ссылок: Обнаружено, Ошибка.
Считается, что модули проверки сработали на MIME-части, если в результате проверки произошло хотя бы одно из следующих событий:
Модуль Антивирус присвоил сообщению любой статус, кроме Не проверено, Не обнаружено, Ошибка баз.
Модуль Антивирус обнаружил в сообщении документ, содержащий макрос.
В журнал будут записаны данные о проверке каждой MIME-части и каждой ссылки всех сообщений.
Например, в сообщении обнаружено 5 вложений без угроз и других объектов и 10 ссылок, на которые сработали модули проверки. Если выбрано значение Только для сообщений, на MIME-частях которых сработали модули проверки, то в журнал событий будет записана только информация о 10 ссылках. Если выбрано значение Для всех сообщений, то в журнал событий будет записана информация и о 5 вложениях, и о 10 ссылках.
Если вы хотите записывать хеш MIME-частей сообщения в журнал событий, включите переключатель Записывать хеш MIME-частей и вложений. Если опция включена, для каждой MIME-части и вложения, записанных в журнал, будет добавлен хеш. Для ссылок хеш не записывается.
Если вы включили переключатель Записывать хеш MIME-частей и вложений, в раскрывающемся списке Алгоритм хеширования выберите значение: SHA256, MD5 или SHA1.
В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий, при превышении которого более старые записи будут удалены.
Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.
В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события обработки сетевого трафика на сервере.
Значение по умолчанию: 3 дня. Допустимые значения – целые числа от 1 до 8589934592.
В блоке События приложения выполните следующие действия:
В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий, при превышении которого более старые записи будут удалены.
Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.
В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события приложения на сервере.
Значение по умолчанию: 1100 дней.
В блоке События аудита выполните следующие действия:
В блоке параметров Уровень журналирования событий аудита выберите детальность записи событий аудита в журнал событий. Вы можете выбрать один из следующих вариантов:
Не записывать события аудита.
Записывать события аудита без информации об измененных параметрах.
Будут записываться только события аудита, без информации об измененных параметрах и их значениях.
Записывать события аудита и измененные параметры.
Будут записываться события аудита, а также прежние и новые значения измененных параметров.
Значение по умолчанию Записывать события аудита без информации об измененных параметрах.
Независимо от значения параметра Уровень журналирования событий аудита KSMG записывает события попыток аутентификации в журнал syslog с категорией authpriv(10). Записываются события успешных и неуспешных попыток входа в приложение c аутентификацией по протоколам Kerberos, NTLM и через локальную учетную запись. Если запись аудита событий включена, KSMG будет записывать события журнала аудита еще и в журнал syslog.
В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий аудита, при превышении которого более старые записи будут удалены.
Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.
В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события аудита на сервере.
Значение по умолчанию: 1100 дней.
Если запись о событии длинная, запись о событии в журнале разбивается на несколько частей. В поле Максимальный размер части с измененными параметрами в формате CEF (символов) укажите максимальный размер такой части записи в символах кодировки UTF-8. Минимальное значение 4000, значение по умолчанию 4000.
Нажмите на кнопку Сохранить.
Параметры записи событий в журнал событий будут настроены.