Во время работы устройства Kaspersky NGFW происходит запись в локальный журнал большого количества системных событий. Вы можете настроить локальные фильтры для системных событий, чтобы указать, какие именно данные должны записываться в журнал на устройстве Kaspersky NGFW.
Чтобы настроить локальные фильтры:
В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.
Откроется вкладка Политика.
В разделе Система выберите Системные события.
На вкладке Параметры системных событий выполните следующий действия:
Если вы хотите фильтровать записываемые в журнал события с учетом источника трафика, выберите Источник.
Если вы хотите фильтровать записываемые в журнал события с учетом потребителей трафика, выберите Назначение.
Если вы хотите фильтровать записываемые в журнал события с учетом сетевых протоколов и портов, выберите Сервис.
В открывшемся окне настройки фильтра выберите пункт Выбранные.
По умолчанию установлено значение Все и локальные фильтры не настроены.
Если вы выбрали Источник или Назначение, выполните следующие действия:
На вкладке Адреса выберите сетевые объекты, записи которых вы хотите сохранять в журналах, и нажмите на кнопку Включить над таблицей либо включите для этих сетевых объектов переключатель в столбце Статус.
Если вы хотите указать отдельный IP-адрес, на вкладке Хосты нажмите на кнопку Создать и в поле Значение введите IPv4-адрес.
Если вы хотите указать несколько IP-адресов, на вкладке Диапазоны IP-адресов нажмите на кнопку Создать и в полях От и До введите начало и конец диапазона IPv4-адресов.
Если вы хотите указать подсеть, на вкладке Подсети нажмите на кнопку Создать и в поле Значение укажите подсеть в формате IPv4 CIDR (<IP-адрес>/<маска подсети>, например 192.168.2.0/24).
Если вы выбрали Сервис, выполните следующие действия:
Выберите в таблице сервисы, записи которых вы хотите сохранять в журналах, и нажмите на кнопку Включить над таблицей либо включите для этих сервисов переключатель в столбце Статус.
Если вы хотите создать новый сервис, нажмите на кнопку Создать в панели инструментов и введите требуемые значения: название сервиса, описание и используемый протокол и порт.
В разделе Уровень детализации выполните следующие действия:
Установите уровень детализации ведения журнала для параметра Уровень для журналов компонентов плоскости передачи данных.
Значение по умолчанию: Предупреждение.
Установите уровень детализации ведения журнала для параметра Уровень для журналов компонентов плоскости безопасности.
Значение по умолчанию: Ошибка.
Установите уровень детализации ведения журнала для параметра Уровень для журналов компонентов плоскости административного управления.
Значение по умолчанию: Предупреждение.
Сообщения, выводимые с выбранным или более низким уровнем детализации, попадут в журнал. Например, если вы указали уровень Предупреждение, в локальный журнал будут записаны события с уровнями Предупреждение, Ошибка и Критический. Сообщения, выводимые с уровнем детализации выше установленного, в журнал не попадут.
Ведение журналов с уровнями детализации Отладка и Трассировка может оказывать влияние на функционирование и производительность устройства Kaspersky NGFW, а также управление им. Уровни детализации Отладка и Трассировка мы рекомендуем включать только по запросу Службы технической поддержки "Лаборатории Касперского" на ограниченный период времени.
Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.