5.2. Администрирование системы FraudWall

5.2.1. Общие положения

Служебные конфигурационные файлы компонент системы FraudWall располагаются в директории /etc/fraudwall (файлы fwcontrol.xml и fraudwall.xml).

Прикладное администрирование системы FraudWall осуществляется через WWW-интерфейс.

5.2.2. Конфигурационный файл fwcontrol.xml

Конфигурационный файл fwcontrol.xml представляет собой XML-файл в кодировке UTF.

Данный файл содержит в себе параметры ограниченного доступа, которые должны быть доступны только пользователю root.

Синтаксис строки параметра следующий:

<option name="параметр" value="значение"/>

Внимание

Так как файл fwcontrol.xml имеет синтаксис XML, при указании значений параметров необходимо учитывать необходимость преобразования некоторых спецсимволов. Детали можно уточнить по ссылке http://ru.wikipedia.org/wiki/XML

Таблица 13. Перечень параметров файла fwcontrol.xml

параметр допустимые значения назначение
database_masteruser текст

логин администратора базы данных

Логин и пароль администратора баз данных придумываются в процессе первоначальной установки системы.

Внимание

Логин должен содержать латинские символы только нижнего регистра, цифры и символ "_".

Значение логина и пароля не должно быть равно зарезервированным командам PostgreSQL. Например, в качестве логина нельзя использовать “user”, “superuser” и т.д. - при таких значениях в логах PostgreSQL (в директории /var/log/postgresql/) будет зафиксирована ошибка.

Логин и пароль администратора базы данных будут храниться в открытом виде в конфигурационном файле fwcontrol.xml. Несмотря на то, что этот файл будет доступен на чтение только пользователю с правами root, не рекомендуется использовать такой же пароль, который указан для пользователя root операционной системы.

database_masterpassword текст пароль администратора базы данных
archive_password текст

пароль шифрования архивов журналов событий

Если значение параметра archive_password пустое, шифрование архивов не осуществляется.

Примечание

Шифрование архивов журналов событий возможно только в случае, если в качестве архиватора используется rar. В остальных случаях значение этого параметра игнорируется.


Изменить логин и пароль администратора баз данных можно, выполнив на сервере, где установлены компоненты базы данных FraudWall, команду: fw_dbadmin

Внимание

При изменении логина администратора баз данных, старая учетная запись не удаляется. Процедура удаления старой учетной записи указана в документации к PostgreSQL.

После внесения изменений в файл fwcontrol.xml необходимо выполнить команду: service fw_control restart

Примечание

В случае установки компонент системы FraudWall на нескольких серверах, необходимо скопировать изменения на все остальные сервера.

5.2.3. Конфигурационный файл fraudwall.xml

Конфигурационный файл fraudwall.xml представляет собой XML-файл в кодировке UTF.

Данный файл содержит в себе параметры, необходимые для взаимодействия различных компонент системы FraudWall между собой.

Синтаксис строки параметра следующий:

<option name="параметр" value="значение"/>

Внимание

Так как файл fraudwall.xml имеет синтаксис XML, при указании значений параметров необходимо учитывать необходимость преобразования некоторых спецсимволов. Детали можно уточнить по ссылке http://ru.wikipedia.org/wiki/XML

Таблица 14. Перечень параметров файла fraudwall.xml

параметр допустимые значения назначение
log_level число от 0 до 9 уровень логирования компонент FraudWall, устанавливаемый по-умолчанию
tz_moscowdelta целое число от -23 до +23 смещение времени этого сервера относительно московского времени в часах
ad_server IP адрес IP адрес контроллера ActiveDirectory
master_server IP адрес IP адрес сервера, на котором установлен управляющий WWW-сервер FraudWall
dbha_server IP адрес указывает IP адрес резервного сервера базы данных. Если такого сервера не установлено, указывается пустое значение
database_server IP адрес IP адрес сервера, на котором установлены компоненты базы данных системы FraudWall
database_user текст

логин пользователя базы данных

Логин и пароль пользователя баз данных придумываются в процессе первоначальной установке системы.

Внимание

Логин должен содержать латинские символы только нижнего регистра, цифры и символ "_".

Значение логина и пароля не должно быть равно зарезервированным командам PostgreSQL. Например, в качестве логина нельзя использовать “user”, “superuser” и т.д. - при таких значениях в логах PostgreSQL (в директории /var/log/postgresql/) будет зафиксирована ошибка.

Примечание

Следует различать учетную запись пользователя баз данных, указываемую в конфигурационном файле fraudwall.xml, с учетной записью администратора баз данных, указываемой в конфигурационном файле fwcontrol.xml.

Учетная запись пользователя баз данных (параметр database_user в файле fraudwall.xml) используется для штатной работы всех модулей системы FraudWall. На уровне базы данных ей предоставлены ограниченные права доступа.

Учетная запись администратора баз данных (параметр database_masteruser в файле fwcontrol.xml) используется только модулем управления для автоматического создания схемы базы данных. На уровне базы данных ей предоставлены неограниченные права доступа.

database_password текст пароль пользователя базы данных
www_password_days число указывает, через сколько дней требовать у пользователя FraudWall сменить пароль. Отсутствие параметра или значение, равное 0, означает бесконечный срок жизни пароля пользователя в интерфейсе FraudWall
memcached_server IP адрес IP адрес сервера, на котором установлен сервер Memcached (необходимо указать IP адрес управляющего WWW-сервера системы FraudWall)
mail_server IP адрес

IP адрес банковского почтового сервера

При изменении этого параметра необходимо выполнить команду: fw_control -s mail

Внимание

ВНИМАНИЕ! Почтовые сообщения, формируемые системой, носят важный характер. Обязательно проверьте конфигурацию вашего почтового сервера, что эти сообщения не будут блокироваться антиспам- и прочими фильтрами.

mail_sasl_user текст Логин для SASL-аутентификации на почтовом сервере. Если SASL-аутентификация не требуется, укажите пустое значение.
mail_sasl_password текст Пароль для SASL-аутентификации на почтовом сервере. Если SASL-аутентификация не требуется, укажите пустое значение.
mail_from e-mail адрес Почтовый адрес, от имени которого будут отправляться все почтовые сообщения с сервера FraudWall
autoupdate_fw on/off on - автоматически устанавливать обновления компонент системы FraudWall, off - только информировать по почте
autoupdate_db on/off on - автоматически устанавливать обновления справочников (справочник БИК, GeoIP и т.д., off - только информировать по почте
autoupdate_rh on/off on - если включено автообновление компонент FraudWall, то дополнительно обновлять операционную систему

5.2.3.1. Действия при редактировании файла fraudwall.xml

После внесения изменений в файл fraudwall.xml необходимо выполнить команду: service fw_control restart

Примечание

В случае установки компонент системы FraudWall на нескольких серверах, необходимо скопировать изменения на все остальные сервера и выполнить на них указанные выше команды.

5.2.4. Администрирование пользователей системы FraudWall

Администрирование пользователей системы FraudWall осуществляется посредством WWW-интерфейса в пункте «Администрирование» меню «Пользователи»:

Рисунок 38. Интерфейс администрирования пользователей системы FraudWall

Интерфейс администрирования пользователей системы FraudWall

Для редактирования свойств существующего пользователя необходимо ввести в поле «Пользователь» логин пользователя либо его фамилию, затем нажать Enter.

Установить (сбросить) первоначальный пароль входа пользователя можно, указав новый пароль в поле «Установить первоначальный пароль», затем нажать на кнопку «Сохранить»:

Рисунок 39. Сброс пароля пользователя

Сброс пароля пользователя

Можно временно заблокировать пользователя, нажав на кнопку «Заблокировать». Разблокирование пользователя осуществляется нажатием на кнопку «Разблокировать».

При удалении пользователя соответствующая учетная запись помечается со статусом «Удален». Восстановить удаленного пользователя невозможно.

Права доступа каждого пользователя в системе определяются его ролью, а также перечнем допустимых кодов БИК банка плательщика, масок расчетных счетов плательщика.

Перечень допустимых операций каждой роли можно посмотреть в помощи к параметру «Роль пользователя»:

Рисунок 40. Роли пользователей системы FraudWall

Роли пользователей системы FraudWall

Списки допустимых БИК банка плательщика и масок расчетных счетов плательщика работают по принципу - если указано хотя бы одно значение в списке, то пользователю доступны платежи только попадающие под этот список. Если в списке значений нет, то ограничений доступа по соответствующему списку пользователю не накладывается.

Для удобства администрирования пользователей, имеющих идентичные права доступа (например, сотрудники бэк-офиса одного и того же филиала банка), можно настроить права доступа одному из пользователей, а затем скопировать его права другим пользователям. При копировании прав доступа пользователю, ранее существующие у него права будут полностью заменены.

5.2.5. Интеграция с ActiveDirectory

Аутентификация пользователей FraudWall может осуществляться как на основе локального пароля (на уровне FraudWall), так и по паролю пользователя в ActiveDirectory.

При этом допускается, что некоторые пользователи будут аутентифицироваться по паролю FraudWall, а некоторые - по паролю ActiveDirectory.

Для того, чтобы пользователь FraudWall мог быть аутентифицирован по паролю ActiveDirectory, при его создании необходимо указать домен ActiveDirectory в виде DOMAIN\USERNAME, как показано на рисунке:

(при этом первоначальный пароль указывать не нужно).

Если же пользователь был создан без указания домена ActiveDirectory, FraudWall рассматривает его как пользователя, аутентификация которого осуществляется по локальному паролю FraudWall. Например, таким пользователем является пользователь admin.

Также для аутентификации пользователей ActiveDirectory необходимо в параметре ad_server конфигурационного файла /etc/fraudwall/fraudwall.xml указать IP адрес контроллера домена ActiveDirectory. Включение сервера FraudWall в домен ActiveDirectory не требуется.

Примечание

Если в /etc/fraudwall/fraudwall.xml нет опции ad_server, необходимо вручную добавить ее в конце файла перед строчкой </config>, как показано ниже:

...
<!-- IP адрес контроллера Active Directory -->
<option name="ad_server" value="1.2.3.4"/>
</config>

После внесения изменений в конфигурационный файл fraudwall.xml необходимо выполнить команду:

service fw_master restart

Для диагностики проблем, связанных с процессом аутентификации пользователей в домене ActiveDirectory, FraudWall фиксирует статус аутентификации в журнале аудита действий пользователей системы, доступный через интерфейс "Аудит пользователей" меню "Пользователи".

5.2.6. Сброс пароля встроенного администратора системы FraudWall

В процессе первоначальной установки создается встроенный администратор системы ‘admin’ с паролем ‘admin’.

В целях безопасности пароль этого пользователя рекомендуется изменить на более сложный.

Если в процессе эксплуатации системы новый пароль пользователя ‘admin’ был забыт, то возможно сбросить его на первоначальное значение. Для этого, необходимо зайти SSH-консолью под учетной записью root и выполнить команду: fw_control -c resetadmin

В файле журнала событий модуля управления /var/log/fraudwall/fw_control.log будет зафиксирована соответствующая запись о результате выполнения команды.

5.2.7. Аудит пользователей системы FraudWall

Действие пользователей в WWW-интерфейсе системы FraudWall протоколируется в журнале аудита. Просмотр событий журнала аудита осуществляется в WWW-интерфейсе системы FraudWall, пункт «Аудит пользователей» меню «Пользователи»:

Рисунок 41. Интерфейс аудита системы FraudWall

Интерфейс аудита системы FraudWall

Интерфейс аудита позволяет найти события в том числе по удаленным пользователям системы FraudWall.

5.2.8. Конфигурирование профилей обнаружения мошеннических платежей

Все настройки по обнаружению мошеннических платежей хранятся в так называемых профилях.

Профили могут быть применены на уровне клиента, на уровне сайта и на уровне филиала (банка). Приоритетным считается профиль на уровне клиента, если он не указан, то используется профиль на уровне сайта, если на уровне сайта профиль также не указан, используется профиль на уровне филиала (банка).

Один и тот же профиль может быть применен к нескольким филиалам банка, нескольким сайтам и нескольким клиентам.

Редактирование свойств профиля осуществляется в пункте «Профили антифрода» меню «Система»:

Рисунок 42. Интерфейс редактирования свойств профиля

Интерфейс редактирования свойств профиля

В рабочей системе FraudWall должен быть создан как минимум один профиль, и к каждому банку (филиалу) должен быть привязан профиль.

Привязка профиля к банку либо его филиалу осуществляется при конфигурировании свойств филиала (пункт «Филиалы» меню «Система»):

Рисунок 43. Привязка профиля к банку либо его филиалу

Привязка профиля к банку либо его филиалу

Привязка профиля к сайту осуществляется при конфигурировании свойств сайта (пункт «Сайты» меню «Система», «Общие параметры»):

Рисунок 44. Привязка профиля к сайту

Привязка профиля к сайту

Привязка профиля к клиенту банка осуществляется в интерфейсе получение аналитических отчетов по клиенту (интерфейс «Плательщик» меню «Аналитика»):

Рисунок 45. Привязка профиля к клиенту банка

Привязка профиля к клиенту банка

5.2.9. Конфигурирование системы FraudWall. Банки и филиалы

Система FraudWall обнаруживает мошеннические платежи только для тех банков (филиалов), на которые есть соответствующая лицензия. Привязка осуществляется по коду БИК.

Один и тот же сервер FraudWall может анализировать трафик и обнаруживать мошеннические платежи клиентов одновременно нескольких филиалов.

Как показывает практика, клиенты разных филиалов одного и того же банка, имеют свою специфику, связанную с особенностью региона, где расположен филиал. Помимо разного значения средних сумм платежей, которое уже упоминалось в разделе 5.2.8 «Конфигурирование профилей обнаружения мошеннических платежей», это может быть часовой пояс, в котором работают клиенты, либо другие параметры.

В системе FraudWall предусмотрена возможность устанавливать каждому филиалу собственные настройки, либо использовать типовые правила и параметры обнаружения мошеннических платежей.

Рисунок 46. Интерфейс редактирования свойств банка либо филиала

Интерфейс редактирования свойств банка либо филиала

Внимание

Необходимо убедиться, что каждому зарегистрированному банку либо филиалу сопоставлен профиль обнаружения мошеннических платежей

5.2.10. Конфигурирование системы FraudWall. Сайты

Клиенты, работая в системе ДБО, фактически работают на Web-сайте, который создан на WWW-сервере системы ДБО.

Так как для фильтрации трафика и обнаружения мошеннических платежей весь трафик клиентов должен проходить через систему FraudWall, в системе FraudWall для каждого из таких Web-сайтов ДБО создаются собственные настройки.

Для того, чтобы трафик клиентов проходил через систему FraudWall, на сервере FraudWall есть WWW-сервер Apache, с которым должен соединяться клиент для работы с ДБО.

Внимание

Если система FraudWall интегрируется с ДБО в универсальном режиме (т.е. FraudWall не выступает в качестве WWW-сервера ДБО, а получает информацию о платежах из базы данных ДБО), все равно необходимо создать "виртуальный" сайт с типом "Анализ платежей в базе данных (универсальный режим)".

Интерфейс конфигурирования Web-сайтов системы FraudWall доступен через пункт «Сайты» меню «Система»:

Рисунок 47. Интерфейс редактирования свойств Cайта FraudWall

Интерфейс редактирования свойств Cайта FraudWall

Один и тот же сервер FraudWall может работать одновременно с несколькими Web-сайтами системы ДБО. Единственное ограничение - если модуль BSI системы ДБО BS-Client устанавливается непосредственно на сервер FraudWall, то на этом сервере может быть настроен только один сайт с модулем BSI (при этом, Web-сайтов, работающих в проксированном режиме, может быть несколько).

При конфигурировании нескольких Web-сайтов, работающих по протоколу HTTP, необходимо учитывать следующие правила:

  • На одной паре «IP адрес сервера FraudWall:TCP порт сайта» может быть несколько Web-сайтов.

  • Для определения Web-сайта из зарегистрированных в системе FraudWall используется соответствие «доменное имя сайта:TCP порт сайта».

  • Имя сайта, указанное клиентом в Internet-браузере (dbo.bank.ru в строке http://dbo.bank.ru:8080) должно совпадать с основным либо дополнительным доменным именем в сети Internet, указанных в свойствах Web-сайта в конфигурации FraudWall. Регистр символов не учитывается

  • Для URL вида http://1.2.3.4, в качестве доменного имени Web-сайта FraudWall необходимо указать 1.2.3.4

  • TCP-порт, указанный клиентом в Internet-браузере (80 в строке http://dbo.bank.ru или 8080 в строке http://dbo.bank.ru:8080), должен совпадать с TCP-портом, указанном в свойствах Web-сайта в конфигурации FraudWall

При конфигурировании нескольких Web-сайтов, работающих по шифрованному протоколу HTTPS, необходимо учитывать следующие правила:

  • На одной паре «IP адрес сервера FraudWall:TCP порт сайта» может быть только один Web-сайт.

  • Имя сервера, указанного клиентом в URL, игнорируется. Оно может как совпадать с именем, указанным в параметре «Доменное имя в сети Интернет», так и отличаться от него.

При конфигурировании Web-сайта, работающего по шифрованному протоколу HTTPS, необходимо установить SSL-сертификат из файла формата PKCS#12, содержащего в том числе сертификаты всех вышестоящих удостоверяющих центров, на которых выпущен SSL-сертификат. Процедура импорта SSL-сертификата из операционной системы Microsoft Windows приведена в разделе 4.7 «Установка сервера управления системы FraudWall» .

SSL-сертификат в конфигурации Web-сайта системы FraudWall достаточно установить один раз - при последующем изменении параметров этого Web-сайта повторно импортировать SSL сертификат из файла не потребуется.

Можно настроить кеширование данных Web-сайта, что может снизить нагрузку на WWW-сервер системы ДБО, а также объем передаваемых данных между сервером FraudWall и WWW-сервером:

Рисунок 48. Настройка кеширования Web-сайта FraudWall

Настройка кеширования Web-сайта FraudWall

Более подробно о кешировании трафика см.раздел 5.2.11 «Кеширование трафика на стороне FraudWall».

Трафик клиентов при работе в ДБО, который используется для обнаружения мошеннических платежей, помещается в файл. Учитывая сложность работы с файлами большого размера, в системе FraudWall предусмотрена возможность переключения файла (т.е. создание нового файла с переименованием существующего) при превышении заданного размера файла:

Рисунок 49. Настройка максимального размера файла дампа

Настройка максимального размера файла дампа

5.2.11. Кеширование трафика на стороне FraudWall

Срок устаревания содержимого, сообщаемого WWW-сервером системы ДБО клиенту, носит не обязательный, а рекомендательный характер.

В некоторых случаях Internet-браузер на стороне клиента игнорирует параметры срока устаревания содержимого.

Например, при включении указанных ниже опций Internet Explorer может запрашивать у Web-сервера файл, срок устаревания которого с последнего посещения страницы сайта еще не прошел:

Рисунок 50. Параметры Internet Explorer, при которых игнорируется устаревание кеша

Параметры Internet Explorer, при которых игнорируется устаревание кеша

В этом случае Internet Explorer формирует много паразитного трафика, состоящего из множества запросов на получение одной и той же картинки, css-файла и т.д. Такой трафик повышает нагрузку на Web-сервер системы ДБО, систему FraudWall и т.д.

Исходя из особенностей Internet Explorer, кеширование на стороне FraudWall дает наибольший эффект для сайтов, работающих через шифрованный протокол HTTPS.

При включении кеширования на стороне FraudWall, если запрашиваемое клиентом статическое содержимое находится в кеше, то этот запрос уже не будет перенаправлен на WWW-сервер ДБО, и клиенту будет отправлено закешированное содержимое. Таким образом, WWW-сервер ДБО будет заниматься в основном формированием динамического содержимого.

Срок устаревания данных в кеше аналогичен параметрам устаревания содержимого, указанных в конфигурации Web-сервера:

Рисунок 51. Настройка устаревания содержимого в WWW-сервере IIS

Настройка устаревания содержимого в WWW-сервере IIS

Внимание

Директории, которые указаны в списке для кеширования, а также все нижестоящие директории должны содержать только статический контент. Если в них формируются динамические страницы, то их содержимое не будет зафиксировано в файле дампа, а соответственно, не будут обрабатываться анализатором трафика.

Поддиректории, указываемые в списке для кеширования, обрабатываются с учетом регистра символов.

5.2.12. Балансировка нагрузки между WWW-серверами ДБО

Для создания отказоустойчивой схемы и балансировки нагрузки можно использовать несколько WWW-серверов системы ДБО.

Внимание

Не путайте балансировку нагрузки между WWW-серверами системы ДБО и балансировку нагрузки между серверами FraudWall.

Каждый из WWW-серверов системы ДБО должен иметь идентичную конфигурацию программного обеспечения: настройки WWW-сервера, содержимое сайтов и т.д.

Балансировка нагрузки между WWW-серверами системы ДБО предусматривает также автоматическое отключение отказавшего WWW-сервера, т.е. отказоустойчивую среду.

Схема балансировки нагрузки показана на рисунке:

Рисунок 52. Балансировка WWW-серверов ДБО средствами FraudWall

Балансировка WWW-серверов ДБО средствами FraudWall

Список внутренних WWW-серверов, участвующих при балансировке нагрузки одного Web-сайта, указывается в WWW-интерфейсе FraudWall при конфигурировании Web-сайта:

Рисунок 53. Список внутренних WWW-серверов при балансировке нагрузки

Список внутренних WWW-серверов при балансировке нагрузки

Приоритет WWW-сервера означает соотношение числа обрабатываемых запросов из общего числа - чем больше приоритет, тем больше на него будет перенаправлено запросов. Например, если приоритет 1-го сервера 10, а 2-го сервера 20, то из 30 запросов 10 будут отправлены на 1-й сервер, а 20 оставшихся запросов - на 2-й.

Для корректной балансировки нагрузки между WWW-серверами необходимо, чтобы Internet-браузер на стороне клиента поддерживал Cookie. Если в Internet-браузере клиента поддержка Cookie отключена, то все его запросы будут перенаправляться на первый работоспособный сервер из списка внутренних WWW-серверов.

При включенной поддержке Cookie на стороне клиента, он будет обслуживаться только тем WWW-сервером ДБО, который обрабатывал его первый запрос.

Можно также реализовать схему, при которой, помимо балансировки WWW-серверов системы ДБО, осуществляется балансировка серверов FraudWall:

Рисунок 54. Одновременная балансировка серверов FraudWall и WWW-серверов ДБО

Одновременная балансировка серверов FraudWall и WWW-серверов ДБО

5.2.13. Высвобождение лицензии в случае закрытия клиентом расчетного счета в банке

Система FraudWall автоматически вычисляет число используемых лицензий на основе данных о платежах клиентов, полученных в процессе обучения системы (т.е. из VIEW fraudwall_learn).

При приближении числа используемых лицензий к максимальному значению, система FraudWall формирует администраторам сервера письмо с соответствующим предупреждением.

Возможна ситуация, когда клиент банка закрывает расторгает договор с банком об обслуживании расчетного счета, и выделять для него лицензию FraudWall нецелесообразно. В этом случае предусмотрено три варианта высвобождения лицензии:

  • Вариант 1: автоматическое освобождение лицензии

    Данный механизм автоматически запускается в случае превышения числа используемых лицензий над максимально допустимым. Система FraudWall определяет самого неактивного клиента (т.е. клиента, который дольше всех не создавал платежей в ДБО), и подчищает по нему статистику. Высвобожденная таким образом лицензия передается новому клиенту банка

  • Вариант 2: освобождение лицензии в ручном режиме через интерфейс "Аналитика по плательщику"

    Чтобы не ждать, пока число лицензий достигнет максимального значения, можно вручную очищать статистику по клиенту банка, закрывшему расчетный счет - тем самым лицензия будет высвобождена лицензия этого клиента.

    Для этого необходимо зайти в интерфейс "Аналитика по плательщику", получить аналитику по ИНН клиента, закрывшего счет, а затем в группе "Очищение статистики по плательщику" указать дату закрытия счета (т.е. дату, до которой будет очищена статистика) и причину очищения статистики:

    Рисунок 55. Очищение статистики по плательщику

    Очищение статистики по плательщику

    После очищения статистики рекомендуется получить аналитику по очищаемому ИНН клиента повторно - в отчете "Накопленная статистика по плательщику" должен быть текст следующего содержания:

    Рисунок 56. Сообщение, отображаемое в отчете по плательщику после высвобождения лицензии

    Сообщение, отображаемое в отчете по плательщику после высвобождения лицензии

    Примечание

    Обратите внимание, что процесс подсчета числа лицензий - довольно долгая процедура, поэтому она выполняется в ночное время. Поэтому если вы освобождаете лицензию вручную, счетчик числа использованных лицензий изменится только на следующий день.

  • Вариант 3: высвобождение лицензий на основе актуального списка ИНН клиентов банка

    Если вручную очищать лицензии не удобно, предусмотрено очищение лицензий на основе файла со списком ИНН клиентов банка.

    Для этого необходимо предварительно из АБС, ДБО или других источников получить список ИНН или КИО активных клиентов - юридических лиц и индивидуальных предпринимателей, а затем подготовить текстовый файл, содержащий этот список (в формате одна строка содержит один ИНН или КИО):

    01234567890
    23456780924
    12345
    1234678901234

    Внимание

    Если ИНН активного клиента банка (юридического лица или индивидуального предпринимателя) будет отсутствовать в этом файле, по нему удалится статистика. Это приведет к тому, что для этого клиента в первые N дней (N задается банком в свойствах сайта) большинство встроенных правил будут отключены, что может привести к краже средств.

    Примечание

    Если клиент банка - физическое лицо не является индивидуальным предпринимателем, ИНН этого клиента помещать в список активных клиентов не требуется.

    Созданный файл запишите на сервер управления в директорию /tmp, а затем выполните команду (вместо filename укажите полный путь к файлу):

    fw_control -c corplist -i filename

5.2.14. Решение проблем с базой данных

СУБД PostgreSQL, используемая в качестве хранилища данных в системе FraudWall, отличается высокой надежностью в своей работе. Конфигурационные файлы, поставляемые по-умолчанию, рассчитаны на многолетнюю необслуживаемую работу.

Тем не менее, могут возникнуть следующие проблемы:

  • размер базы данных может неоправданно быть большим. Это возникает, когда в базе данных было много данных (например, выставлен параметр хранения подозрительных платежей в несколько лет), а затем их одномоментно уменьшили (например, изменили срок хранения на 1 год)

  • из-за аппаратных проблем может возникнуть ситуация, когда в log-файлах FraudWall фиксируются ошибки следующего рода:

    ОШИБКА: Database error detected: 'ERROR: Invalid page header in block 75 of relation base/16385/16438'

Для решения таких проблем предусмотрена утилита, которая пересоздает файлы базы данных, уменьшая их в размере и исправляя при этом возможные проблемы. Для ее запуска необходимо выполнить команду fw_dbshrink

Внимание

В процессе сжатия базы данных все сервисы FraudWall будут остановлены

5.2.15. Очищение базы данных FraudWall

В процессе первоначального тестирования системы, FraudWall, как правило, обрабатывает тестовые несуществующие платежи, которые отсутствуют в боевой базе ДБО или АБС. Поэтому после завершения этапа тестирования, база данных статистики FraudWall может быть искажена.

Чтобы в промышленной эксплуатации FraudWall работал только с корректной базой данных статистики, предусмотрена возможность полного очищения базы данных FraudWall. Для этого необходимо в SSH-консоли выполнить команду: fw_dbclear