Журналы безопасности

К перечню журналов безопасности относятся журнал событий безопасности системы и журналы безопасности на уровне ОС.

Журнал событий безопасности системы по умолчанию располагается по пути C:\Program Data\Infomaximum\logs\security.log.

Размер журналов безопасности системы

Предположительный размер файлов лога системы вычисляется по формуле:

Память в год = Количество сотрудников*1 Мб.

Файл logback.xml позволяет настраивать ротацию логов. Логи безопасности по умолчанию хранятся 3 года. Если период недостаточен, необходимо изменить файл конфигурации.

Описание журналов безопасности

События логирования подробно описаны в разделе Логирование событий.

Формат записи:

37<1> <time> <hostname> infomaximum <pid> <MSGID> [meta sequenceId=""][system@729368 version.core="1.0.0" version.proceset="1.0.0"][source@729368 ...][event@729368 ...][target@729368 ...]

Пример записи в журнале безопасности:

<37>1~2019-03-26T16:07:06+03:00~infomaximum61~infomaximum~9160~update~[metasequenceId="80"]~[system@729368 version.platform="1.0.0" version.proceset="1.0.0"]~[source@729368 sessionHash="3915d830623a26b61a044d1ad9c1bebb6e61705a969559e1c5f436d2210aabcc" id="1" type="employee" login="admin" remoteAddress="10.0.75.1"]~[event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com"]~[target@729368 module="platform" id="2"type="employee" login="vpetrov"]

Ротация журнала безопасности

Все журналирование системы основано на компоненте Logback (https://logback.qos.ch).

По умолчанию в системе применяется файл конфигурации: C:\ProgramData\Infomaximum\logback.xml. Также в системе возможны варианты с переопределением файла конфигурации, при этом используется механизм приоритизации загрузки файла конфигурации.

Подробно о формате файла конфигурации, а также о приоритетах загрузки файлов конфигурации можно посмотреть в документации:

https://logback.qos.ch/manual/configuration.html.

По умолчанию в системе включена ротация логов, для журнала безопасности применяются следующие правила: файл журнала безопасности упаковывается в архив и переименовывается в соответствии с шаблоном ("security.%d{yyyy-MM-dd}.%i.log.gz") при следующих условиях:

• наступили следующие сутки
• журнал лога превысил размер в 50 Мб

По умолчанию файлы журнала безопасности хранятся 3 года. По истечении этого времени старые журналы безопасности удаляются. Параметры, которые отвечают за ротацию логов, настраиваются в файле logback.xml. Путь файла: C:\ProgramData\Infomaximum.

Горячее обновление конфигурации

В системе по умолчанию предусмотрен механизм «горячего» обновления конфигурации. За это отвечают параметры «scan» и «scanPeriod». Сканирование происходит каждые 30 секунд. Этот механизм позволяет временно изменять правила логирования, вплоть до полного его отключения (<configuration scan="true" scanPeriod="30 seconds">).

Журналы безопасности на уровне ОС

Журналы безопасности на уровне ОС:

• Application (C:\Windows\System32\winevt\Logs\Application.evtx)
• Security (C:\Windows\System32\winevt\Logs\Security.evtx)
• System (C:\Windows\System32\winevt\Logs\System.evtx)

Доступ к журналам ограничен учетными записями:

• Administrators (локальная группа)
• Event Log Readers (локальная группа)
• SYSTEM
• EventLog

Доступ к журналу безопасности осуществляется через системную утилиту Event Viewer.