Когда вы нажимаете Показать действие, появится новый экран:

В этом представлении вы можете выбрать количество отображаемых записей журнала, начиная с самых последних и в обратном порядке. Вы также можете фильтровать контент, используя значок фильтра справа.

Обзор журналов #

RELIANOID Load Balancer Enterprise Edition регистрирует события на уровне системы, сети и приложений в системном журнале. Эти журналы необходимы для устранения неполадок, мониторинга поведения трафика и аудита событий безопасности.

Все журналы следуют Формат системного журнала RFC 5424:

<timestamp> <hostname> <subsystem>: <message>

Где:

• отметка времени – Формат ISO 8601 с микросекундами и часовым поясом
• хоста – Имя хоста балансировщика нагрузки
• подсистема – Исходный компонент (например, ядро, фунт, keepalived, zproxy)
• сообщение – Подробная информация о событии, включая сведения о подключении, проверке работоспособности или безопасности

Подсистемы журналов #

• Ядро / Netfilter (ядро). Сообщает о низкоуровневых сетевых событиях, таких как: решения брандмауэра (WL для белых списков, BL для чёрных списков), изменения состояния TCP-пакетов (SYN, ACK, RST), NAT и поведение маршрутизации. Пример:

  2025-03-26T11:34:09.257768+01:00 ядро noid-ee-01: [1279318.848199] [WL,exchange_smtprelay_servers,exch-25-relay] ВХОД=eth2 ВЫХОД= MAC=aa:bb:cc:dd:14:ac:... SRC=10.10.72.11 DST=10.10.72.22 PROTO=TCP SPT=43112 DPT=25 RST

  Смысл: Пакет с адреса 10.10.72.11 на адрес 10.10.72.22:25 вызвал проверку по белому списку.

• Ядро балансировщика нагрузки / прокси (pound, eproxy). Сообщает об обработке трафика приложений, включая: маршрутизацию внутренних запросов, ошибки проверки работоспособности, тайм-ауты или ошибки подключения (e500, e502), действия брандмауэра веб-приложений (WAF). Пример:

  2025-03-26T11:34:09.383463+01:00 noid-ee-01 pound: exch-80, [WAF,service redirect443, backend (UNKNOWN):0,] ModSecurity: Доступ запрещен с кодом 302 ...
  

  Смысл: Правило WAF запретило доступ к /autodiscover/autodiscover.xml и вернуло перенаправление 302.

• Подсистема безопасности (IPDS/WAF)Интегрировано в журналы прокси-сервера или пользовательские модули безопасности. Отчёты: совпадения с системой предотвращения вторжений (IPS), события WAF и срабатывания правил, подозрительные запросы с IP-адресами клиентов и URI запросов.
• Кластер и высокая доступность (keepalived / conntrackd / cluster). Журналы: отказы виртуальных IP-адресов, переходы состояний узлов (ГЛАВНЫЙ / РЕЗЕРВНЫЙ) и изменения состояния проверки работоспособности.

Типы регистрируемой информации #

• Транспортный поток: IP-адреса источника и назначения, порты, интерфейсы, размер пакета и флаги TCP
• Статус бэкэнда: какая служба и бэкэнд обработали запрос, включая ошибки или тайм-ауты
• Безопасность события: решения WAF, репутация IP-адресов, оповещения об обнаружении вторжений
• Системные события: Изменения интерфейса, кластеризация или события демона балансировки нагрузки