Журналы безопасности

Добавить в избранное

Добавить в избранное

Все избранные

К перечню журналов безопасности относятся журнал событий безопасности системы и журналы безопасности на уровне ОС.

Журнал событий безопасности системы security.log по умолчанию располагается:

• На Windows — в каталоге C:\Program Data\Infomaximum\logs
• На Linux — в контейнере /var/log/infomaximum

Логирование событий осуществляется в формате, основанном на спецификации RFC 5424 (The Syslog Protocol). Для временных меток используется формат RFC 3339.

Подробное описание формата представлено в спецификации RFC 5424:

• Оригинальный документ (IETF)
• Русский перевод

Формат временных меток описан в спецификации RFC 3339.

Используется EnterpriseId 729368, не зарегистрированный в IANA.

Размер журналов безопасности системы

Предположительный размер файлов лога системы вычисляется по формуле:

Память в год = Количество сотрудников*1 Мб.

Файл logback.xml позволяет настраивать ротацию логов. Логи безопасности по умолчанию хранятся 3 года. Если период недостаточен, необходимо изменить файл конфигурации.

Описание журналов безопасности

События логирования подробно описаны в разделе Логирование событий.

Формат записи:

37<1> <time> <hostname> infomaximum <pid> <MSGID> [meta sequenceId=""][system@729368 version.core="1.0.0" version.proceset="1.0.0"][source@729368 ...][event@729368 ...][target@729368 ...]

Пример записи в журнале безопасности:

<37>1~2019-03-26T16:07:06+03:00~infomaximum61~infomaximum~9160~update~[metasequenceId="80"]~[system@729368 version.platform="1.0.0" version.proceset="1.0.0"]~[source@729368 sessionHash="3915d830623a26b61a044d1ad9c1bebb6e61705a969559e1c5f436d2210aabcc" id="1" type="employee" login="admin" remoteAddress="10.0.75.1"]~[event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com"]~[target@729368 module="platform" id="2"type="employee" login="vpetrov"]

Ротация журнала безопасности

Все журналирование системы основано на компоненте Logback (https://logback.qos.ch).

По умолчанию в системе применяется файл конфигурации logback.xml, расположенный:

• На Windows — в каталоге C:\ProgramData\Infomaximum
• На Linux — в контейнере /var/lib/infomaximum

Также в системе возможны варианты с переопределением файла конфигурации, при этом используется механизм приоритизации загрузки файла конфигурации.

Подробно о формате файла конфигурации, а также о приоритетах загрузки файлов конфигурации можно посмотреть в документации:

https://logback.qos.ch/manual/configuration.html.

По умолчанию в системе включена ротация логов, для журнала безопасности применяются следующие правила: файл журнала безопасности упаковывается в архив и переименовывается в соответствии с шаблоном ("security.%d{yyyy-MM-dd}.%i.log.gz") при следующих условиях:

• Наступили следующие сутки
• Журнал лога превысил размер в 50 Мб

По умолчанию файлы журнала безопасности хранятся 3 года. По истечении этого времени старые журналы безопасности удаляются. Параметры, которые отвечают за ротацию логов, настраиваются в файле logback.xml.

Горячее обновление конфигурации

В системе по умолчанию предусмотрен механизм «горячего» обновления конфигурации. За это отвечают параметры «scan» и «scanPeriod». Сканирование происходит каждые 30 секунд. Этот механизм позволяет временно изменять правила логирования, вплоть до полного его отключения (<configuration scan="true" scanPeriod="30 seconds">).