Вход
Авторизация

КАК ЧИТАТЬ ЛОГИ СИСТЕМЫ

В составе VPNKI существует много систем, которые формируют журналы событий. Часть из этих журналов доступно и пользователям.


Здесь мы кратко расскажем про журналы, которые:

1. относятся к VPN подключениям и доступны в личном кабинете - "События безопасности" и "События авторизации".

2. относятся к услугам "Публикация URL" и "Проброс TCP порта" и высылаются по электронной почте

 

Журналы VPN подключений

 

Журналы VPN соединений доступы в личном кабинете.

  • В лог "События безопасности" заносятся важные технические действия в пользовательском аккаунте - создание и удаление туннелей, включение или выключение услуги, а также часть информации о подключении
  • В лог "События авторизации" заносятся только события проверки имени пользователя и пароля вашего туннеля

 

Как читать логи?


1. При установлении соединения, но еще до проверки имени пользователя и пароля, наша система проверяет наличие адреса, с которого идет подключение, в "белом списке".


Поэтому первые данные о подключении записываются в лог "События безопасности".

 

log1

Connection attempt from IP: 1x.xx.xx.xx with name: user2xx - попытка установления соединения пользователя user2xx c IP адреса 1x.xx.xx.xx
Access granted. No whitelist is set for user. Ready to check username / password. - нет установленного "белого списка", доступ разрешен. Готов к проверке имени/пароля

 

 

2. После этого начинается работа системы аутентификации и авторизации и это можно увидеть в логе "События авторизации"

 

log2

Access-Accept - ответ системы аутентификации о том, что доступ разрешен (проверка имени пользователя и пароля прошли успешно)

 

 

3. Затем можно вернуться к логу "События безопасности" и увидеть, что после успешной аутентификации система получила DHCP запрос от клиентского оборудования на выдачу IP адресов и маршрутов

 

log3

We received DHCP-request from user user2xx. Send DHCP route: route to VPNKI net - 172.16.0.0/16, VPNKI gateway - 172.16.0.1, network/mask - 192.168.1.0/24.
Если такой запрос приходит, что VPNKI выдает информацию.

Последним сообщением в логе "События безопасности", касающимся этого соединения идет сообщение о том, что пользователь активировал услугу по почтовому информированию о подключении туннеля.

Tunnel monitoring: tunnel user2xx is connected, sending e-mail... эта запись говорит о отсылке почтового сообщения пользователю.

 

 

О проблеме с PPTP и GRE

 

Как известно, многие провайдеры в силу технических ограничений не всегда корректно пропускают трафик протокола GRE, который необходим для работы PPTP. Если вы столкнулись с тем, что соединение PPTP не устанавливается, то имеет смысл заглянуть в логи VPNKI.

В "Событиях безопасности" может присутствовать информация о попытке установления соединения с вашего IP адреса, однако информации об авторизации в журнале "События авторизации" не будет вовсе.

Это говорит о том, что при установлении соединения дело до проверки имени и пароля не дошло по причине отсутствия соединения по протоколу GRE.

 

Надеемся что эта короткая информация поможет вам в поиске неисправности.

 

 

Журналы "Публикации URL" и "Проброса TCP порта"

Журнал этих услуг высылаются по электронной почте пользователя со страницы настройки соответствующей услуги. В архиве zip находится текстовый файл, содержащий обращения из Интернет, связанные с услугой. Период времени, за который сформирована выгрузка - чуть больше суток.

 

Публикация URL

 

Пример записи:

Mar 17 23:48:03 [6997]: 112.19.11.122:57692 [17/Mar/2021:23:48:03.563] http-in~ Octopus-raspberry/Octopus-raspberry 167/0/56/64/295 200 3496 - - ---- 106/26/0/1/0 0/0 "GET / HTTP/1.1"

  • Mar 17 23:48:03  - дата записи в логе
  • [6997] - номер процесса на сервере
  • 112.19.11.122:57692 - адрес источника:порт источника
  • [17/Mar/2021:23:48:03.563] - дата обращения
  • http-in~ - логическое имя на сервере
  • Octopus-raspberry/Octopus-raspberry - логическое имя получателя (пользователя)
  • 167/0/56/64/295 - служебные данные сервера
  • 200 - код статуса HTTP обращения (200 - OK)
  • 3496 - количество байт переданных в сторону пользователя, включая заголовки HTTP
  • 106/26/0/1/0 0/0 - служебные данные сервера
  • GET / HTTP/1.1 - HTTP запрос

В этом примере, статус 200 означает, что сервер успешно выполнил HTTP запрос GET / - то есть получение главной страницы ресурса.

Из часто встречающихся статусов:

  • 503 означает, что серверу VPNKI не удалось связаться с вашим ресурсом и причиной этого может быть отсутствие VPN соединения в этот момент или что-то не так с маршрутами к серверу.
  • 404 означает, что запрошенный документ на сервере отсутствует.

 

Проброс TCP порта

Пример записи

Mar 17 23:48:04 [6997]: 112.19.11.122:58428 [17/Mar/2021:23:46:27.455] direct-26153-Octopus direct-26153-Octopus/direct-Octopus 1/82/96593 2248 -- 105/79/79/79/0 0/0

  • Mar 17 23:48:04  - дата записи в логе
  • [6997] - номер процесса на сервере
  • 112.19.11.122:58428 - адрес источника:порт источника
  • [17/Mar/2021:23:46:27.455] - дата обращения
  • direct-26153-Octopus - логическое имя на сервере
  • direct-26153-Octopus/direct-Octopus - логическое имя получателя (пользователя)
  • 1/82/96593 - служебные данные сервера
  • 2248 - количество байт переданных в сторону пользователя
  • 105/79/79/79/0 0/0 - служебные данные сервера

 

Дополнительно стоит отметить, что при использовании "Публикации URL" наша система передает в сторону вашего оборудования заполненное поле HTTP заголовка X-Forwarded-For. Чуть больше информации здесь.

 

*** Если вдруг что-то не получилось, обращайтесь на Форум