Логирование событий
В этой статье
- Логирование событий
- Спецификация полей журнала безопасности
- Соответствие видов событий журнала
- Блоки записи в журнале безопасности
- Модуль «Платформа»
- Примеры записей событий модуля «Платформа» в журнале безопасности
- Модуль «Active Directory»
- Примеры записей событий модуля «Active Directory» в журнале безопасности
- Модуль «ClickHouse»
- Примеры записей событий модуля «ClickHouse» в журнале безопасности
- Модуль «Бизнес-аналитика»
- Примеры записей событий модуля «Бизнес-аналитика» в журнале безопасности
- Модуль «Мониторинг»
- Пример записи модуля «Мониторинг» в журнале безопасности
- Модуль «Автоматизация»
- Примеры записей событий модуля «Автоматизация» в журнале безопасности
Каждому объекту, который создается в системе, присваиваются идентификаторы. Их можно просмотреть:
- В адресной строке браузера
- Через GraphQL-запрос. Например, идентификатор присваивается пользователю при его создании
События логирования каждого модуля представлены ниже в таблицах.
События, которые сейчас не логируются в системе:
- Очистка журнала событий
- Изменение настроек безопасности (включение/отключение, изменение уровня логирования)
- Копирование объекта
- Архивирование данных
- Попытка удаления журналов безопасности
- Изменение конфигурации системы (конфигурационных файлов, настроек СУБД, настроек ПО)
- Остановка/сбой основных или вспомогательных модулей
- SQL-запросы к ClickHouse, исходящие из блоков в скриптах автоматизации
События «попытки несанкционированного доступа к системе» также не логируются, т.к. защита от несанкционированного доступа производится на уровне файловой системы.
Логирование «результатов контроля целостности АС контроля работоспособности СЗИ» не осуществляется. Также не осуществляется подсчет данных хеша в конфигурационном файле, так как данная функция не гарантирует их сохранность от изменений. Защита может осуществляться только на уровне файловой системы.
Спецификация полей журнала безопасности
| № | Описание | Комментарий | Зарезервированное значение |
|---|---|---|---|
| 1 | Приоритет | Все сообщения идут с одним приоритетом: 4*8+5 | 37 |
| 2 | Версия syslog | 1 | |
| 3 | HOSTNAME | Имя сервера, если определить не удалось или имя не соответствует требованиям RFC 5424, то "-" | |
| 4 | Имя процесса | Нарушение спецификации. Спецификация требует указать имя приложения (java), но это не обеспечивает уникальность продукта | infomaximum |
| 5 | ID процесса (PID) | Если pid определить не удалось, то '-' | |
| 6 | MSGID события | Уникальный идентификатор события, основан на «инкрементирующем значении». Строковое значение типа события |
Соответствие видов событий журнала
| Информация о событии в терминах СЗИ | Элемент в строке в журнале безопасности | Примечание |
|---|---|---|
| Уникальный номер строки о событии ИБ | [meta sequenceId="80"] | Значение meta sequenceId является уникальным номером строки о событии |
| Название АС-источника информации о событии | [source@729368 … type="employee"…] | Значение type в source является типом источника события. Подробнее в таблице Блоки записи в журнале безопасности |
| Версия источника информации о событии | [system@729368 version.platform= "1.0.0"] | Значение version.platform является информацией об источнике события.Подробнее в таблице Блоки записи в журнале безопасности |
| Системное имя (логин) пользователя-инициатора события | [source@729368 … id="1" type="employee" login="admin"…] | Значение id="1", "login="admin" является информацией о пользователе-инициаторе, а именно: login – логин, id – порядковый номер пользователя. Подробнее в таблице Блоки записи в журнале безопасности |
| IP-адрес хоста-источника события | [source@729368… remoteAddress="10.0.75.1"] | Значение remoteAddress является IP-адресом хоста-источника события |
| Системное имя (логин) пользователя получателя | [target@729368 …id="1" type="employee" login="admin"] | Значения в target id="1" type="employee" login="admin" являются информацией о пользователе-получателе, где:id – порядковый номер пользователяlogin – логин пользователяtype – тип получателя |
| Системный идентификатор сообщения о событии | update | Идентификатором-сообщением о событии может быть значение <MSGID> Подробнее в таблицах со структурированными данными для каждого модуля |
| Системное время источника события | 2019-03-26T16:07:06+03:00 | Время источника события фиксируется в строке под <time> Формат даты: yyyy-MM-ddTHH:mm:ssZ |
| Текст сообщения в максимально подробном виде, включая старые и новые значения измененных свойств | [event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com] | old_first_name – старое значение имениold_email – старое значение электронного адресаnew_first_name – новое значение имениnew_email – новое значение электронной почты |
| Полное имя процесса(службы) результат (успех/отказ) | Результат (успех/отказ) фиксируется не для всех событий в системе |
В таблицах ниже представлена подробная справочная информация о структуре данных, которые могут присутствовать в записях журнала безопасности, включая типы событий, их параметры и краткое описание.
Блоки записи в журнале безопасности
| Поле | Описание |
|---|---|
| Meta | |
sequenceId | Идентификатор события, основан на «инкременте» |
| Система: system@729368 | |
version.platform | Версия ядра |
| Источник: source@729368 | |
system | Внутреннее действие системы |
remote_addressremote_proxy | Запросы без авторизации. Тип источника: «anonymous». remoteAddress – удаленный адрес, с которого пришел запрос remoteProxy – если сервер находится за прокси, то через HTTP-заголовок X-Real – IP можно указать реальный IP |
remoteAddress remoteProxy id sessionHash login | Запрос пользователя. Тип источника: «employee». remoteAddress – удаленный адрес, с которого пришел запрос remoteProxy – если сервер находится за прокси, то через HTTP-заголовок X-Real – IP можно указать реальный IP id – идентификатор пользователя sessionHash – SHA256 от строкового значения сессии login – логин пользователя |
subtype remote_address remote_proxy id name login_AD domain_name | Запрос ключа API. Тип источника: «api_key». subtype ="AD" – тип авторизации через ключ API посредством политик AD certificate – тип авторизации через ключ API посредством клиентской аутентификации (сертификатов безопасности) none – тип авторизации только через ключ API remote_address – удаленный адрес, с которого пришел запрос remote_proxy – если сервер находится за прокси, то через HTTP-заголовок X-Real – IP можно указать реальный IP id – идентификатор ключа API name – название ключа API login_AD – логин пользователя в AD (появляется только в том случае, если есть интеграция с AD) domain_name – доменное имя (появляется только в том случае, если есть интеграция с AD) |
| Объект, над которым произведено действие: target@729368 | |
| Все поля и события, относящиеся к target@729368, описаны в таблицах ниже |
Модуль «Платформа»
| Событие | Параметры |
|---|---|
| Событие над объектом: «system» (Система) | |
initialize – начало инициализации системы | — |
start – начало работы | — |
stop – окончание работы | — |
crush – окончание работы с ошибкой | — |
| Событие над объектом: «employee» (Пользователь) Данные объекта «Пользователь»: id – идентификатор пользователяlogin – логин пользователя | |
create – создание | first_name – имяsecond_name – фамилияlogin – логин |
update – изменение | new_first_name – новое значение имениold_first_name – старое значение имениnew_second_name – новое значение фамилииold_second_name – старое значение фамилииnew_patronymic – новое значение отчестваold_patronymic – старое значение отчестваnew_personnel_number – новое значение табельного номераold_personnel_number – старое значение табельного номераnew_login – новое значение логинаold_login – старое значение логинаnew_email – новое значение электронной почтыold_email – старое значение электронной почтыnew_department – новое значение отделаold_department – старое значение отдела |
remove – удаление | — |
logon – вход в систему | status – статус авторизацииВозможные значения status:- success – успешная- invalid_logon – неуспешная (неверные учетные данные) - disabled_logon – отключен вход в систему - expired_password – срок действия пароля закончился - invalid_logon_and_max_logon – превышение количества попыток входа в систему - no_privileges – не установлена роль доступа - session_hash – хеш сессии |
logout – выход из системы | cause – причина Возможные значения cause:- timeout – истекло время жизни сессии - manual – пользователь разлогинился - force – система принудительно удалила сессию session_hash – хеш сессии |
change_password – смена пароля | cause – причина Возможные значения cause:- employee_update – обновление пароля пользователем - change_expiration_password – смена пароля с истекшим временем жизни - reset_password – сброс пароля - set_password_by_invitation – задание пароля при переходе по ссылке из приглашения |
change_enabled_logon – блокировка/разблокировка пользователей | |
adding_access_role – назначение роли доступа | access_role_id – идентификатор роли доступа access_role_name – название роли доступа |
removing_access_role – сброс (удаление) роли доступа у пользователя | access_role_id – идентификатор роли доступа access_role_name – название роли доступа |
adding_access_to_employee – предоставление доступа к пользователю | employee_id – идентификатор пользователя login – логин пользователя all – доступ ко всем пользователям true – вкл |
removing_access_to_employee – отзыв доступа к пользователю | employee_id – идентификатор пользователяlogin – логин пользователяall – доступ ко всем пользователямtrue – вкл |
change_enabled_monitoring – смена значения параметра «Сбор активности» | |
| Событие над объектом: «setting» (Настройки) | |
update – обновление настроек подключения AD | new_login – новое значение параметраold_login – старое значение параметра password_change – изменение пароляold_ldaps – старое значение протокола LDAPSnew_ldaps – новое значение протокола LDAPSold_host – старое значение хостаnew_host – новое значение хоста |
create_domain_path – добавление пути домена AD | id – идентификатор пути домена name – название |
update_domain_path – изменение пути домена AD | new_name – новое название домена old_name – старое название домена |
remove_domain_path – удаление пути домена AD | id – идентификатор пути домена name – название |
create_certificate – добавление сертификата | id – идентификатор сертификата alias – название |
update_certificate – изменение сертификата | id – идентификатор сертификатаnew alias – новое название old_alias – новое название |
remove_certificate – удаление сертификата | id – идентификатор сертификата alias – название |
create_ad_attribute_scheme – создание схемы пользовательского атрибута синхронизации AD | id – идентификатор схемы атрибутаname – названиеactive – активностьbase – предустановленная схема атрибутаВозможные значения base:- true – вкл- false – выклad_employee_field_scheme_id – идентификатор схемы поля пользователя |
update_ad_attribute_scheme – изменение схемы атрибута синхронизации AD | id – идентификатор схемы атрибутаname – названиеactive – активностьad_employee_field_scheme_id – идентификатор схемы поля пользователя |
remove_ad_attribute_scheme – удаление схемы атрибута синхронизации AD | id – идентификатор схемы атрибутаname – название |
create_ad_employee_field_scheme – создание схемы поля пользователя | id – идентификатор схемы поляname – названиеstatic – предустановленная схема |
update_ad_employee_field_scheme – изменение схемы поля пользователя | id – идентификатор схемы поляname – название |
remove_ad_employee_field_scheme – удаление схемы поля пользователя | id – идентификатор схемы поляname – название |
change_activity_filter_type – смена значения у параметра «Режим фильтра» | |
| Объект: «access_role» (Роли доступа) Данные объекта «Роли доступа»: id – идентификатор пользователяname – название роли доступа | |
create – создание | name – название |
update – изменение | old_name – старое названиеnew_name – новое название |
remove – удаление | — |
change_privilege – изменение | privilege – название привилегииold_operations – старое значение операции доступаnew_operations – новое значение операции доступа |
| Объект: «authentication» (Аутентификация) Данные объекта «Аутентификация»: id – идентификатор аутентификацииname – название аутентификацииtype – тип аутентификации | |
create – создание аутентификации | name – название |
update – изменение параметров аутентификации | new_name – новое названиеold_name – старое название |
remove – удаление аутентификации | — |
change_complex_password – включение/выключение контроля сложности пароля | new_value – новое значение параметраold_value – старое значение параметраВозможные значения: - true – вкл- false – выкл |
change_min_password_length – изменение минимальной длины пароля | new_value – новое значение параметраold_value – старое значение параметра |
change_password_expiration_time – изменение срока действия пароля | new_value – новое значение параметраold_value – старое значение параметра |
change_max_invalid_logon_count – изменение лимитов на invalid logon | new_value – новое значение параметраold_value – старое значение параметра |
| Объект: «api_key» (Ключи API) Данные объекта «Ключи API»: id – идентификатор пользователяname – название роли доступа | |
create – создание | name – название |
update – изменение | old_name – старое названиеnew_name – новое название |
remove – удаление | — |
change_privilege – изменение привилегии | privilege – название привилегииold_operations – старое значение операции доступаnew_operations – новое значение операции доступа |
logon – авторизация в системе | status – статусsessionHash – хеш сессииВозможные значения status:- success – успешно- fail – ошибкаsessionHash – не обязательное поле, только для авторизации через AD |
logout – выход из системы (только для авторизации через AD) | cause – причинаsession_hash – хеш сессииВозможные значения cause:- timeout — истекло время жизни сессии- manual — пользователь разлогинился- force — система принудительно удалила сессию |
| Объект: «department» (Отдел) Данные объекта «Отдел»: id – идентификатор отделаname – название отдела | |
create – создание | name – название отделаid – идентификатор отдела |
update – изменение | old_name – старое название отделаnew_name – новое название отделаid – идентификатор отдела |
remove – удаление | name – название отделаid – идентификатор отдела |
Примеры записей событий модуля «Платформа» в журнале безопасности
Инициализация, объект — система:
<37>1~2024-03-22T10:28:24+03:00~c-066-im~infomaximum~2716~initialize~[meta sequenceId="1"]~[source@729368 trace="s168870325" type="system"]~[event@729368]~[target@729368 module="platform" type="system"]
Создание роли доступа:
<37>1~2024-03-22T10:31:56+03:00~c-066-im~infomaximum~2716~create~[meta sequenceId="5"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1196217484" session_hash="0fccb5a7f0e06044d087b4028922aa5537ba6200750ee2d9e784c9d1c0a818df" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 name="Новая роль доступа"]~[target@729368 module="platform" name="Новая роль до ступа" id="11" type="access_role"]
Модуль «Active Directory»
| Событие | Параметры |
|---|---|
| Объект: «ad_sync» (Синхронизация Active Directory) | |
ad_sync_start – начало синхронизации с Active Directory | — |
ad_sync_end – окончание синхронизации с Active Directory | — |
| Объект: «ad_account» (Интеграция Active Directory: аккаунт) Данные объекта «Аккаунт AD»: id – идентификатор учетной записи AD | |
create – создание связи с учетной записью AD | guid – objectGUID атрибут employee_id – идентификатор пользователя distinguished_name – отличительное имя user_principal_name – имя учетной записи common_account_name – имя учетной записи |
update – обновление связи с учетной записью AD | new_guid – новое значение guid old_guid – старое значение guid new_employee_id – новое значение employee_id old_employee_id – старое значение employee_id new_distinguished_name – новое значение distinguished_name old_distinguished_name – старое значение distinguished_name new_user_principal_name – новое значение user_principal_name old_user_principal_name – старое значение user_principal_name new_common_account_name – новое значение common_account_name old_common_account_name – старое значение common_account_name |
remove – удаление связи с учетной записью AD | guid – objectGUID атрибут employee_id – идентификатор пользователя user_principal_name – имя учетной записи common_account_name – имя учетной записи |
| Объект: «ad_attribute» (Интеграция Active Directory: атрибут) Данные объекта «Атрибут AD»: id – идентификатор Атрибута ADad_attribute_scheme_id – идентификатор схемы атрибута AD | |
create – создание пользовательского атрибута | ad_attribute_scheme_id – идентификатор схемы атрибута AD ad_account_id – ID учетной записи AD value – значение атрибута |
update – обновление пользовательского атрибута | new_ad_attribute_scheme_id – новое значение ID схемы атрибута AD old_ad_attribute_scheme_id – старое значение ID схемы атрибута AD new_ad_account_id – новое значение ID учетной записи AD old_ad_account_id – старое значение ID учетной записи AD new_value – новое значение атрибута old_value – старое значение атрибута |
remove – удаление пользовательского атрибута | — |
| Объект: «ad_employee_field» (Интеграция Active Directory: пользовательское поле) Данные объекта «Пользовательское поле»: id – идентификатор поля пользователяad_employee_field_scheme_id – идентификатор схемы поля пользователя | |
create – создание пользовательского поля | ad_employee_field_scheme_id – идентификатор схемы поля пользователя employee_id – идентификатор пользователя value – значение поля |
update – обновление пользовательского поля | new_ad_employee_field_scheme_id – новое значение ID схемы поля пользователя old_ad_employee_field_scheme_id – старое значение ID схемы поля пользователя new_employee_id – новое значение ID пользователя old_employee_id – старое значение ID пользователя new_value – новое значение поля old_value – старое значение поля |
remove – удаление пользовательского поля | — |
| Объект: «domain_controller_connection» (Синхронизация) Данные объекта «Синхронизация»: id — идентификатор синхронизации | |
create — создание | name — название синхронизацииhost — адрес контроллера доменаlogin — логинldapsВозможные значения ldaps:- true — ldaps используется- false — ldaps не используется |
update — изменение | old_name — старое названиеnew_name — новое название |
remove — удаление | name — название синхронизацииhost — адрес контроллера доменаlogin — логин синхронизации |
| Объект: «domain_controller» (Контроллер домена) Данные объекта «Контроллер домена»: id — идентификатор синхронизации | |
create — создание | login — название контроллера доменаhost — хостldapsВозможные значения ldaps:- true — ldaps используется- false — ldaps не используется |
update — изменение | old_host — старый хостnew_host — новый хост |
remove — удаление | host — хостlogin — название контроллера домена |
remove_certificate — удаление сертификата | id — ID сертификатаalias — название |
| Объект: «saml_authentication» (Аутентификация SAML) Данные объекта «Аутентификация SAML»: id — идентификатор аутентификации | |
create_saml_authentication — создание аутентификации SAML | idp_metadata_path — путь к файлу с метаданнымиid — идентификатор аутентификацииauth_field_type — поле для сопоставления данных |
update_saml_authentication — изменение аутентификации SAML | old_idp_metadata_path – старый путь к файлу с метаданнымиnew_idp_metadata_path — новый путь к файлу с метаданнымиnew_auth_field_type — новое поле для сопоставления данныхold_auth_field_type — старое поле для сопоставления данных |
remove_saml_authentication — удаление аутентификации SAML | idp_metadata_path — путь к файлу с метаданнымиid — идентификатор аутентификацииauth_field_type — поле для сопоставления данных |
| Объект: «settings» (Настройки) | |
create_kerberos_auth_config — создание аутентификации Kerberos | host_kdc — адрес KDCkeytab_path — путь к keytab-файлуid — идентификатор аутентификации |
change_native_auth_enabled — создание стандартной аутентификации Windows | old_value — старое значение параметраВозможные значения old_value:- true- falsenew_value — новое значение параметраВозможные значения new_value:- true- false |
update_kerberos_auth_config — изменение аутентификации Kerberos | new_host_kdc — новый адрес KDCold_host_kdc — старый адрес KDCnew_keytab_path — новый путь к keytab-файлуold_keytab_path –— старый путь к keytab-файлу |
remove_kerberos_auth_config — удаление аутентификации Kerberos | host_kdc — адрес KDCkeytab_path — путь к keytab-файлуid — идентификатор аутентификации |
Примеры записей событий модуля «Active Directory» в журнале безопасности
Переименование синхронизации:
<37>1~2024-03-22T10:40:42+03:00~c-066-im~infomaximum~2716~update~[meta sequenceId="171"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1807136494" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 old_name="департамент №12" new_name="департамент №12. восточный филиал"]~[target@729368 module="ActiveDirectory" id="1" type="domain_controller_connection"]
Синхронизация пользователей:
<37>1~2024-03-22T10:40:28+03:00~c-066-im~infomaximum~2716~ad_sync_end~[meta sequenceId="170"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="s1198549644" type="system"]~[event@729368]~[target@729368 module="ActiveDirectory" type="ad_sync"]
Модуль «ClickHouse»
| Событие | Параметры |
|---|---|
| Объект: «ClickHouse_connection» (Настройка соединения с ClickHouse) | |
create_connection — создание подключения | connection_guid — GUID подключенияnew_host — хостnew_port — портnew_user — имя пользователя new_ssl — SSL-сертификат Возможные значения new_ssl: - true — вкл - false — выкл with_ssl_root_cert — авторизация с помощью SSL-сертификата Возможные значения with_ssl_root_cert: - true — вкл- false — выкл with_user_password — авторизация с помощью логина и пароляВозможные значения with_user_password: - true — вкл- false — выкл |
update_connection — изменение подключения | connection_guid — GUID подключенияold_host — старый хостold_port — старый портold_user — старое имя пользователяold_ssl — старый SSL-сертификатnew_host — новый хостnew_port — новый портnew_user — новое имя пользователяnew_ssl — новый SSL-сертификатwith_ssl_root_cert — авторизация с помощью ssl-сертификата Возможные значения with_ssl_root_cert: - true — вкл- false — выкл with_user_password — авторизация с помощью логина и пароляВозможные значения with_user_password: - true — вкл- false — выкл |
remove_connection | — |
Примеры записей событий модуля «ClickHouse» в журнале безопасности
Изменение порта:
<37>1~2024-03-22T10:46:21+03:00~c-066-im~infomaximum~2716~update_connection~[meta sequenceId="176"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1698408261" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 connection_guid="1c67a8b9-2160-4985-932d-bcc27eaaeffc" with_user_password="true" new_port="2260" old_port="2261"]~[target@729368 module="ClickHouseStandalone" type="ClickHouse_connection"]
Модуль «Бизнес-аналитика»
| Событие | Параметры |
|---|---|
| Объект: «dashboаrd» (Дашборд) | |
access.adding_dash_creation_access – добавление права создания дашборда | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_dash_creation_access – удаление права создания | employee_id – идентификатор пользователяlogin – логин пользователя |
access.adding_write_access – добавление права редактирования | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_write_access – удаление права редактирования | employee_id – идентификатор пользователяlogin – логин пользователя |
access.adding_read_access – добавление права чтения | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_read_access – удаление права чтения | employee_id – идентификатор пользователяlogin – логин пользователя |
| Объект: «workspace» (Пространство) | |
access.adding_dash_creation_access – добавление права создания дашборда | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_dash_creation_access – удаление права создания | employee_id – идентификатор пользователяlogin – логин пользователя |
access.adding_write_access – добавление права редактирования | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_write_access – удаление права редактирования | employee_id – идентификатор пользователяlogin – логин пользователя |
access.adding_read_access – добавление права чтения | employee_id – идентификатор пользователяlogin – логин пользователя |
access.removing_read_access – удаление права чтения | employee_id – идентификатор пользователяlogin – логин пользователя |
Примеры записей событий модуля «Бизнес-аналитика» в журнале безопасности
Удаление пространства «Некое пространство»:
<37>1~2024-03-22T10:34:19+03:00~c-066-im~infomaximum~2716~remove~[meta sequenceId="13"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1522015393" session_hash="0fccb5a7f0e06044d087b4028922aa5537ba6200750ee2d9e784c9d1c0a818df" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368]~[target@729368 module="Workspaces" name="Некое пространство" id="1" type="workspace"]
Назначение доступа на создание дашбордов:
<37>1~2024-03-22T10:43:57+03:00~c-066-im~infomaximum~2716~adding_dash_creation_access~[meta sequenceId="174"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r2058536852" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 employee_id="28" login="p.petrov"]~[target@729368 module="Workspaces" name="Ипотечное кредитование" id="11" type="workspace"]
Назначение доступа на чтение пространства:
<37>1~2024-03-22T10:44:03+03:00~c-066-im~infomaximum~2716~adding_write_access~[meta sequenceId="175"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r351447443" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 employee_id="19" login="i.ivanov"]~[target@729368 module="Workspaces" name="Ипотечное кредитование" id="11" type="workspace"]
Создание дашборда:
<37>1~2024-03-22T10:48:18+03:00~c-066-im~infomaximum~2716~adding_write_access~[meta sequenceId="177"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r2060748208" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 employee_id="2" login="admin"]~[target@729368 module="Dashboard" name="Некий дашборд" id="31" type="dashboard"]
Удаление дашборда:
<37>1~2024-03-22T10:48:21+03:00~c-066-im~infomaximum~2716~removing_write_access~[meta sequenceId="178"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r988430780" session_hash="4e1c5e544eaf6862467fbb7e158a2718502c1fa6aae9c5a52759e9a9c14bf6a0" id="2" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 employee_id="2" login="admin"]~[target@729368 module="Dashboard" name="Некий дашборд" id="31" type="dashboard"]
Модуль «Мониторинг»
| Событие | Параметры |
|---|---|
| Объект: «employee» (Пользователь) | |
change_enabled_monitoring – смена значения у параметра «Сбор активности» | DISABLE – выкл (по умолчанию) SIMPLE – базовый мониторинг EXTENDED – расширенный мониторинг |
| Объект: «settings» (Настройки) | |
change_activity_filter_type – смена значения у параметра «Режим фильтра» | old_value – старое значение new_value – новое значение Возможные значения: - none - white - black |
| Объект: «black» (Черный список) | |
create – добавление маски активности | pattern – название маски активности |
update – изменение названия маски активности | old_pattern – старое название new_pattern – новое название |
remove – удаление маски активности | pattern – название маски активности |
| Объект: «white» (Белый список) | |
create – добавление маски активности | pattern – название маски активности |
update – изменение названия маски активности | old_pattern – старое названиеnew_pattern – новое название |
remove – удаление маски активности | pattern – название маски активности |
Пример записи модуля «Мониторинг» в журнале безопасности
Смена значения у параметра «сбор активности»:
<37>1~2024-03-21T14:46:55+03:00~c-013-tst~infomaximum~7284~change_enabled_monitoring~[meta sequenceId="1237"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1292059100" session_hash="c301128b9ff83324397113b8809eddfc7db73fc35d7c4e0e678b508412f603aa" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 old_value="DISABLED" new_value="SIMPLE"]~[target@729368 module="platform" id="1" type="employee" login="admin"]
<37>1~2024-03-21T14:48:00+03:00~c-013-tst~infomaximum~7284~change_enabled_monitoring~[meta sequenceId="1245"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1593027276" session_hash="c301128b9ff83324397113b8809eddfc7db73fc35d7c4e0e678b508412f603aa" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 old_value="SIMPLE" new_value="EXTENDED"]~[target@729368 module="platform" id="1" type="employee" login="admin"]
Модуль «Автоматизация»
Логирование выполняется для следующих блоков:
Для перечисленных блоков записывается SQL-запрос и параметры подключения. Логирование выполняется для всех типов подключений, включая PostgreSQL и MSSQL.
Логируемые события и их параметры представлены в таблице ниже.
| Событие | Параметры |
|---|---|
| Объект: «connection» (Подключения) | |
create – создание | source – источник (тип подключения, например, PostgreSQL, CH и пр.)name – название подключения в пространствеhost – хост, адрес подключенияport – порт сервера, к которому выполняется попытка соединенияusername – логин для подключения, задаваемый в Procesetssl – сертификат:- true- falseid – идентификатор подключенияworkspace_id – идентификатор пространства, в котором создаётся подключение name_service (опционально для некоторых подключений) – название службы (например, в Oracle)name_database (опционально для некоторых подключений) – название базы данных (например, в PostgreSQL)type_encryption (опционально для некоторых подключений) – тип шифрования (например, в Почта SMPT)Возможные значения type_encryption:- ssl- tls |
update – изменение | old_name – старое название подключения в Proceset (в пространстве)new_name – новое название подключенияold_host – старый хост, адрес подключенияnew_host – новый хост, адрес подключенияold_port – старый порт сервера, к которому выполняется попытка соединенияnew_port – новый порт сервера, к которому выполняется попытка соединенияold_username – логин для подключения, задаваемый в Procesetnew_username– логин для подключения, задаваемый в Procesetold_ssl – старый сертификат new_ssl – новый сертификат Возможные значения ssl:- true- falseold_name_service (опционально для некоторых подключений) – старое название службы (например, в Oracle)new_name_service (опционально для некоторых подключений) – новое название службы (например, в Oracle)old_name_database (опционально для некоторых подключений) – старое название базы данных (например, в PostgreSQL)new_name_database (опционально для некоторых подключений) – новое название базы данных (например, в PostgreSQL)old_type_encryption (опционально для некоторых подключений) – старый тип шифрования (например, в Почта SMPT)new_type_encryption (опционально для некоторых подключений) – новый тип шифрования (например, в «Почта (SMPT)»)Возможные значения type_encryption:- ssl- tlsid – идентификатор подключения, которое обновляетсяworkspace_id – идентификатор пространства, в котором обновляется подключение |
remove – удаление | id – идентификатор подключения, которое удаляетсяworkspace_id – идентификатор пространства, в котором удаляется подключение |
connecting – соединение | script_id – идентификатор скрипта, в котором используется подключение source – источник (тип подключения, например, PostgreSQL, CH и пр.)name – название подключенияhost – хост, адрес подключенияport – порт сервера, к которому выполняется попытка соединенияusername – логин для подключения, задаваемый в Procesetssl – сертификат Возможные значения ssl:- true- false id – идентификатор подключенияworkspace_id – идентификатор пространства, из которого выполняется запросquery – полный SQL-запрос, который выполняетсяstatus – статус выполнения запросаВозможные значения status:- success – успешное выполнение запроса- unsuccessful – неуспешное выполнение запросаerror_name – полное название ошибки, которое возвращается системой в случае, если соединение неуспешное |
| Объект: «script» (Скрипт) | |
execute – запуск скрипта | script_id – идентификатор скрипта |
Примеры записей событий модуля «Автоматизация» в журнале безопасности
Создание подключения:
<37>1~2024-03-20T10:32:57+03:00~c-014-tst~infomaximum~11400~create~[meta sequenceId="254"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1470255862" session_hash="10478e194ea27df9fc3b554291ee884f7e27587e8b39b15254d254cea161a87a" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 workspace_id="3" name_service="test" port="123" name="OracleConnection" host="test" id="13" source="oracle" username="test"]~[target@729368 module="Automation" type="connection"]
Изменение данных подключения:
<37>1~2024-03-20T10:23:45+03:00~c-014-tst~infomaximum~11400~update~[meta sequenceId="248"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r893051867" session_hash="10478e194ea27df9fc3b554291ee884f7e27587e8b39b15254d254cea161a87a" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 workspace_id="3" old_host="smtp.mail.ru" new_username="changed@mail.ru" new_host="changed.mail.ru" old_name="Mail" new_port="321" new_email_address="changed@mail.ru" id="10" old_port="123" new_name="ChangedMail" old_email_address="test@mail.ru" old_username="test@mail.ru"]~[target@729368 module="Automation" type="connection"]
Удаление подключения:
<37>1~2024-03-20T10:07:44+03:00~c-014-tst~infomaximum~11400~remove~[meta sequenceId="243"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="r1071194879" session_hash="10478e194ea27df9fc3b554291ee884f7e27587e8b39b15254d254cea161a87a" id="1" remote_address="[0:0:0:0:0:0:0:1\]" type="employee" login="admin"]~[event@729368 workspace_id="3" id="6"]~[target@729368 module="Automation" type="connection"]
Тестирование блока с подключением:
<37>1~2024-03-20T10:29:26+03:00~c-014-tst~infomaximum~11400~connecting~[meta sequenceId="253"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="s877951137" type="system"]~[event@729368 port="2003" query="select * from test LIMIT 10" host="t1.infomaximum.com" script_id="4" source="postgres" username="postgres" status="success"]~[target@729368 workspace_id="3" module="Automation" id="2" type="connection"]
Активация скрипта с подключением:
<37>1~2024-03-20T10:28:35+03:00~c-014-tst~infomaximum~11400~connecting~[meta sequenceId="252"]~[system@729368 version.platform="1.0.25.0"]~[source@729368 trace="s732675715" type="system"]~[event@729368 port="2003" query="select * from test" host="t1.infomaximum.com" script_id="4" source="postgres" username="postgres" status="success"]~[target@729368 workspace_id="3" module="Automation" id="2" type="connection"]
Была ли статья полезна?
Да
Нет