Приход OutPost 2 Pro

Alex Shark

Спецвыпуск Xakep, номер #033, стр. 033-064-3

Прикладная журналистика

Для корректного слежения за тем, что творилось на машине, теперь существует журнал. Попасть в журнал можно прямо из файрволла. Если выбрать "Разрешенные", "Заблокированные" или любой плуг, появится кнопочка "Показать журнал". Сам журнал является отдельной программой, что позволяет запускать его без запуска файрволла. То есть на сервере, чтобы посмотреть любителей порно, теперь достаточно запустить журнал. В журнале можно по дереву выбрать любой плуг, даже если он остановлен. Тут же можно выбрать несколько стандартных фильтров, например - "Последние 10 атак". В журнале также отражаются общие изменения, такие как остановка файрволла, запись и чтение конфигурации (и полный путь, где хранится файл). Все это можно посмотреть во вкладке "Журнал системы". Очень помогает при неизвестной перезагрузке компа. Можно посмотреть, что предшествовало перезагрузке (сканирование или долбеж одного порта). Зайдя в историю, можно посмотреть, кто и куда ходил и почему ему, собственно, было позволено это сделать. Тут можно делать различные сортировки и устанавливать фильтры. С сортировкой все нормально, достаточно кликнуть по заголовку той колонки, по параметру которой ты хочешь отсортировать. С фильтрами все немного более наворочено. Например, можно отсортировать по продолжительности, при этом время задать не точно, а "примерно". В случае "примерно 5 минут" попали все соединения от 7 минут и меньше. Допускаются также двойные фильтры. Например, где локальный адрес 10.10.10.10 и приложение emule.exe. При фильтрации по приложениям на выбор тебе дадут все приложения, которые засветились в логе. Если ты один раз выбрал и настроил фильтр, он появится в дереве. Так можно настроить фильтр для "Сегодня" или "Вчера" и потом всегда ими пользоваться. Можно не мучиться с настройками фильтра, а просто ткнуть в понравившуюся надпись и сказать "оставить выбранное" или "исключить выбранное". Под понятие "выбранное" подпадает конкретная ячейка, в которую ты ткнул мышой. Данный фильтр не сохраняется как дополнительный, поэтому после того как ты перейдешь в другую ветку, смотрелка лога просто забудет, что ты ее просил сделать. Однако кнопка "Обновить" не сбивает настройки. Для каждого плагина есть свои фильтры. Для обреза рекламы есть фильтр по умолчанию "наиболее часто блокируемые", но можно добавить свои. Для этого надо выбрать в дереве сам фильтр и затем кликнуть "Добавить фильтр". Для рекламы ты уже не увидишь привычные "исходящий порт" и "локальный адрес". Тут уже есть категории "Действие", по которому будет ясно, что было блокировано, графика, сам запрос рекламы или просто параметры блокировки были найдены в таблице ссылок и размеров. В журнале DNS можно посмотреть последние записи. Это последние посещаемые сайты, на которые до этого никто не ходил. Если на плагине никакие дополнительные фильтры добавить не дают, значит или там нет записей, или данный плагин вообще выключен. Ну и самый интересный плагин, "Детектор атак". Тут можно много чего посмотреть. Например, можно сделать фильтр для отлова Voidozer. Для этого достаточно в фильтре указать действие "Фрагментированный IGMP". Тут же можно посмотреть на сканирование портов, кто и как часто пытается его проделать. Из журнала можно "Экспортировать" данные. При этом создается обычный текстовый файл с разделителем табуляцией. Такой файл очень удобно импортировать в Excel для последующей обработки и распечатки. Также удобно делать экспорт с последующей очисткой журнала, дабы не засорять его старыми записями. Своеобразный ручной бэкап. Наиболее используемые фильтры можно добавить в избранное, чтобы в будущем быстрее находить интересующие записи. Из журнала можно также легко перейти в OutPost. Для этого достаточно нажать F7 или выбрать "показать Outpost" в меню "Вид". Журнал сам по себе не обновляется, для обновления надо нажать "Обновить" или стандартное F5. Само появление журнала должно сильно обрадовать всех админов. Ведь раньше, если машина ребутнулась, то это значило, что логов файрволла можно больше и не найти. Теперь все это будет лежать аккуратной кучкой на винте.