Подробный гайд: Журнал пакетов межсетевого экрана (МЭ) в Dallas Lock 8.0‑K

Подробный гайд по журналу пакетов МЭ Dallas Lock 8.0-K: настройка, фильтрация, экспорт, интеграция с SIEM, рекомендации по аудиту сетевой безопасности.

2026.05.07                

Подробный гайд: Журнал пакетов межсетевого экрана (МЭ) в Dallas Lock 8.0‑KПодробный гайд: Журнал пакетов межсетевого экрана (МЭ) в Dallas Lock 8.0‑K

Важно:

  • Модуль «Межсетевой экран» доступен только в редакции Dallas Lock 8.0‑K/C при наличии соответствующей лицензии.

Назначение журнала пакетов МЭ

«Журнал пакетов МЭ» — это специализированный журнал, в который заносятся все события, связанные с передачей пакетов данных в соответствии с заданными правилами фильтрации в обоих направлениях через сетевые адаптеры защищаемого компьютера.

Журнал позволяет:

  • Анализировать сетевую активность приложений и пользователей
  • Выявлять попытки несанкционированного доступа
  • Расследовать инциденты информационной безопасности
  • Формировать отчётность по сетевым событиям

Как открыть журнал пакетов МЭ

Через локальную оболочку администратора:

  1. Запустите оболочку администратора Dallas Lock 8.0 (требуется право «Параметры безопасности: Управление» или «Просмотр»)
  2. Перейдите на вкладку «Журналы» в главном меню
  3. Выберите пункт «Журнал пакетов»
  4. Журнал откроется в новом окне с таблицей событий

Через Единый центр управления (ЕЦУ):

  1. В консоли ЕЦУ выберите защищаемый клиент или группу
  2. Перейдите: Домен безопасности → Клиенты → [Имя клиента] → Журналы
  3. Выберите «Журнал пакетов МЭ»

Структура записи журнала

Каждая запись в журнале пакетов содержит следующие поля:

Поле Описание
Дата/Время Момент регистрации события
Направление Входящий / Исходящий трафик
Протокол TCP, UDP, ICMP, HTTP, FTP и др.
Источник (IP:порт) Адрес и порт отправителя
Назначение (IP:порт) Адрес и порт получателя
Действие Разрешено / Запрещено / Отброшено
Правило МЭ Имя/номер правила, по которому принято решение
Процесс Имя исполняемого файла, инициировавшего соединение
Интерфейс Сетевой адаптер, через который прошёл пакет
Размер пакета Объём переданных данных (байты)

В последних версиях (сборка 12.10.4.877) реализована возможность записи в журнал пакетов, не принадлежащих существующим соединениям (out-of-state), что повышает детализацию аудита.

Настройка ведения журнала

Локальная настройка:

  1. В оболочке администратора перейдите: Параметры безопасности → Межсетевой экран → Политики
  2. Найдите политику «Протоколирование событий МЭ»
  3. Включите опцию «Вести журнал пакетов»
4. Настройте параметры:
  • Уровень детализации: Все пакеты / Только запрещённые / Только разрешённые
  • Фильтрация по процессам: Логировать только для выбранных приложений
  • Ограничение размера журнала: Макс. объём (МБ) перед архивацией

Централизованная настройка через ЕЦУ:

Политика «Ведение журнала пакетов МЭ» позволяет управлять логированием на всех клиентах Домена безопасности:

  • Включение/отключение журнала
  • Настройка фильтров по протоколам, адресам, портам
  • Установка расписания архивации

Фильтрация и поиск в журнале

В окне журнала доступны инструменты фильтрации:

Фильтр по полям:

  • Диапазон дат/времени
  • Направление трафика (вход/выход)
  • Протокол (TCP/UDP/ICMP/HTTP/...)
  • IP-адрес источника/назначения
  • Порт источника/назначения
  • Действие (разрешено/запрещено)
  • Имя процесса/приложения
  • Сетевой интерфейс

Пример фильтра:

  • Показать все запрещённые входящие TCP-соединения на порт 445 от внешних адресов за последние 24 часа.

Для сложных запросов используйте расширенный фильтр с логическими операторами (И/ИЛИ).

Экспорт данных из журнала

Записи журнала можно экспортировать для дальнейшего анализа:

  1. В окне журнала нажмите кнопку «Экспорт» (или через меню «Файл → Экспорт»)
2. Выберите формат:
  • CSV — для открытия в Excel/LibreOffice Calc
  • TXT — простой текстовый формат
  • XML — для интеграции с SIEM-системами
  • CEF (Common Event Format) — стандарт для систем корреляции событий
3. Укажите:
  • Диапазон записей (все / отфильтрованные)
  • Путь сохранения файла
  • Кодировку (рекомендуется UTF-8 для кириллицы)

Для экспорта в SIEM необходимо предварительно настроить политику «Выгрузка журналов» с указанием адреса коллектора и порта.

Архивация и ротация журналов

Чтобы избежать переполнения дискового пространства:

1. В настройках политики журнала укажите:
  • Максимальный размер журнала (по умолчанию ~100 МБ)
- Действие при переполнении:
 - Архивировать старые записи
 - Удалять наиболее старые записи
 - Останавливать логирование (не рекомендуется)

2. Архивы сохраняются в папку: %ProgramData%\DallasLock\Logs\Archive\Firewall\
3. Доступ к архивам возможен через оболочку администратора или ЕЦУ

Интеграция с SIEM-системами

Dallas Lock 8.0 поддерживает выгрузку событий МЭ в форматы:

Формат Назначение
CEF ArcSight, IBM QRadar, McAfee ESM
Syslog (RFC 5424) Splunk, LogRhythm, отечественные SIEM
JSON over HTTPS Современные облачные платформы

Настройка экспорта в SIEM:

  1. Оболочка администратора → Параметры безопасности → Выгрузка журналов
  2. Установить флаг «Экспорт журналов в SIEM-систему»
3. Указать:
  • Адрес сервера коллектора (IP или FQDN)
  • Порт (по умолчанию: 514 для Syslog, 443 для HTTPS)
  • Протокол передачи (UDP/TCP/TLS)
  • Список журналов для выгрузки (включая «Журнал пакетов МЭ»)
  1. Протестировать соединение кнопкой «Проверить»

Типовые сценарии использования

Расследование инцидента

Задача:

Выявить источник сканирования портов

Действия:

  1. Открыть «Журнал пакетов МЭ»
2. Применить фильтр:
  • Действие = «Запрещено»
  • Протокол = «TCP»
  • Период = последние 1 час
  1. Сгруппировать записи по «Источник (IP)»
  2. Экспортировать топ-10 адресов для блокировки на периметре

Аудит активности приложений

Задача:

Проверить, какие приложения выходят в интернет

Действия:
  1. Фильтр: Направление = «Исходящий», Действие = «Разрешено»
  2. Группировка по полю «Процесс»
  3. Анализ частоты соединений и объёма трафика
  4. При необходимости — создать правило МЭ для ограничения

Контроль соблюдения политик

Задача:

Убедиться, что запрещённые ресурсы не доступны

Действия:
  1. Настроить правило МЭ с действием «Запретить + Логировать»
  2. В журнале отслеживать события с меткой данного правила
  3. Настроить автоматические уведомления при срабатывании

Рекомендации по эксплуатации

1. Включайте логирование выборочно — запись всех пакетов создаёт высокую нагрузку на диск и процессор. Рекомендуется логировать только:
  • Запрещённые соединения
  • Критичные порты (22, 23, 445, 3389 и др.)
  • Приложения с повышенными рисками
    1. Регулярно архивируйте журналы — настройте автоматическую архивацию раз в сутки/неделю.
    2. Используйте централизованное управление — при наличии >10 защищаемых ПК настройка политик через ЕЦУ экономит время и снижает риск ошибок.
    3. Тестируйте правила в режиме аудита — перед применением запрещающих правил включите логирование без блокировки, чтобы оценить влияние на работу приложений.
    4. Не храните журналы бессрочно — соблюдайте требования регуляторов (обычно 6–12 месяцев для журналов безопасности).

Примечание:

Интерфейс и названия пунктов могут незначительно отличаться в зависимости от версии сборки (актуальная: 12.10.4.877) и операционной системы (Windows 7/8/10/11).

×

Полный размер Слайдшоу Предыдущий Следующий