Настройка параметров записи событий

При настройке длительности хранения событий и выборе типов событий для записи нужно учитывать доступное дисковое пространство на обрабатывающих серверах.

Параметры записи событий в журнал событий не влияют на параметры записи событий по протоколу Syslog.

Чтобы настроить параметры записи в журнал событий:

1. В окне веб-интерфейса приложения выберите раздел Параметры → Журналы и события → События.
2. В блоке События почтового трафика выполните следующие действия:
   1. В блоке параметров Записывать события обработки трафика выберите, какие события обработки трафика должны быть записаны в журнал событий. Вы можете выбрать один из следующих вариантов:
      • Все.
      • Применено действие Удалить сообщение/Удалить вложение/Отклонить.
      • Не записывать.

      По умолчанию выбрано значение Все.

      Выбранное значение параметра применяется только к событиям, записанным в журнал событий после применения изменений. К событиям, которые были записаны в журнал ранее, новое значение параметра не применяется.
      Выбранное значение параметра применяется на всех узлах кластера.

   2. В блоке параметров Записывать информацию о проверке ссылок и MIME-частей выберите, какие данные должны быть записаны в журнал событий по результатам проверки ссылок и MIME-частей модулями Антивирус, Контентная фильтрация, Проверка ссылок и Анти-Фишинг.

      Вы можете выбрать один из следующих вариантов:

      • Только для сообщений, на MIME-частях которых сработали модули проверки.

        В журнал будут записаны данные о проверке каждой MIME-части всех сообщений и каждой ссылки, в которых сработали модули проверки.

        Считается, что модули проверки сработали на ссылке, если в результате проверки ей присвоен один из следующих статусов:

        • Модуль Анти-Фишинг: Фишинг, Ошибка.
        • Модуль Проверка ссылок: Обнаружено, Ошибка.

        Считается, что модули проверки сработали на MIME-части, если в результате проверки произошло хотя бы одно из следующих событий:

        • Модуль Антивирус присвоил сообщению любой статус, кроме Не проверено, Не обнаружено, Ошибка баз.
        • Модуль Антивирус обнаружил в сообщении документ, содержащий макрос.
        • Модуль Контентная фильтрация применил выражение контентной фильтрации к MIME-части.
      • Для всех сообщений.

        В журнал будут записаны данные о проверке каждой MIME-части и каждой ссылки всех сообщений.

      Например, в сообщении обнаружено пять вложений без угроз и других объектов и десять ссылок, на которые сработали модули проверки. Если выбрано значение Только для сообщений, на MIME-частях которых сработали модули проверки, то в журнал событий будет записана только информация о десяти ссылках. Если выбрано значение Для всех сообщений, то в журнал событий будет записана информация и о пяти вложениях, и о десяти ссылках.

   3. Если вы хотите записывать подробную информацию о сработавших выражениях Контентной фильтрации, включите переключатель Записывать подробную информацию о проверке модулем Контентная фильтрация.

      Если параметр включен, то записывается подробная информация о выражениях, сработавших на все сообщение и отдельно на десять MIME-частей сообщения:

      • Для каждой из десяти MIME-частей записывается подробная информация только об одном сработавшем выражении и об одном сработавшем в нем условии. Если в выражении сработало более одного условия, записывается количество остальных сработавших условий. Если сработало более одного выражения, записываются только названия остальных сработавших выражений.
      • Для остальных MIME-частей отображается только список сработавших выражений.
      • Для всего сообщения записывается информация обо всех сработавших выражениях и условиях.
   4. Если вы хотите записывать хеш MIME-частей сообщения в журнал событий, включите переключатель Записывать хеш MIME-частей и вложений. Если опция включена, для каждой MIME-части и вложения, записанных в журнал, будет добавлен хеш. Для ссылок хеш не записывается.
   5. Если вы включили переключатель Записывать хеш MIME-частей и вложений, в раскрывающемся списке Алгоритм хеширования выберите значение: SHA256, MD5 или SHA1.
   6. В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий, при превышении которого более старые записи будут удалены.

      Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.

   7. В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события обработки сетевого трафика на сервере.

      Значение по умолчанию: 3 дня. Допустимые значения – целые числа от 1 до 8589934592.

3. В блоке События приложения выполните следующие действия:
   1. В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий, при превышении которого более старые записи будут удалены.

      Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.

   2. В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события приложения на сервере.

      Значение по умолчанию: 1100 дней.

4. В блоке События аудита выполните следующие действия:
   1. В блоке параметров Уровень журналирования событий аудита выберите детальность записи событий аудита в журнал событий. Вы можете выбрать один из следующих вариантов:
      • Не записывать события аудита.
      • Записывать события аудита без информации об измененных параметрах.

        Будут записываться только события аудита, без информации об измененных параметрах и их значениях.

      • Записывать события аудита и измененные параметры.

        Будут записываться события аудита, а также прежние и новые значения измененных параметров.

      Значение по умолчанию Записывать события аудита без информации об измененных параметрах.

      Независимо от значения параметра Уровень журналирования событий аудита KSMG записывает события попыток аутентификации в журнал syslog с категорией authpriv(10). Записываются события успешных и неуспешных попыток входа в приложение c аутентификацией по протоколам Kerberos, NTLM и через локальную учетную запись.
      Если запись аудита событий включена, KSMG будет записывать события журнала аудита еще и в журнал syslog.

   2. В поле Максимальный размер журнала событий (МБ) укажите размер журнала событий аудита, при превышении которого более старые записи будут удалены.

      Значение по умолчанию: 1024 МБ. Допустимые значения – целые числа от 100 до 2147483647.

   3. В поле Срок хранения событий в журнале (дней) укажите, сколько дней приложение должно хранить события аудита на сервере.

      Значение по умолчанию: 1100 дней.

   4. Если запись о событии длинная, запись о событии в журнале разбивается на несколько частей. В поле Максимальный размер части с измененными параметрами в формате CEF (символов) укажите максимальный размер такой части записи в символах кодировки UTF-8. Минимальное значение 4000, значение по умолчанию 4000.
5. Нажмите на кнопку Сохранить.

Параметры записи событий в журнал событий будут настроены.

В начало