Журналы аудита
К перечню журналов аудита относится журнал событий безопасности и журналы аудита на уровне ОС. Журнал событий безопасности по умолчанию располагается C:\Program Data\Infomaximum\logs\security.log.
Размер журналов аудита системы
Предположительный размер файлов лога системы вычисляется по формуле:
Память в год = Количество сотрудников*1 Мб.
Файл logback.xml позволяет настраивать ротацию логов. Логи безопасности по умолчанию хранятся 3 года. Если период недостаточен, необходимо исправить файл конфигурации.
Описание журналов аудита
Подробнее события логирования представлены в Таблице 1, Таблице 2, Таблице 3, Таблице 4.
События, которые не логируются на данный момент в системе:
- очистка журнала событий;
- изменение настроек аудита (включение/отключение, изменение уровня логирования);
- копирование объекта;
- архивирование данных;
- попытка удаления журналов аудита;
- изменение конфигурации системы (конфигурационных файлов, настроек СУБД, настроек ПО);
- остановка/сбой подсистемы (компонентов, сервисов, инстансов).
Таблица 1
Спецификация полей журнала аудита
№ | Описание | Комментарий | Зарезервированное значение |
---|---|---|---|
1 | Приоритет | Все сообщения идут с одним приоритетом: 4*8+5 | 37 |
2 | Версия syslog | 1 | |
3 | HOSTNAME | Имя сервера, если определить не удалось или имя не соответствует требованиям RFC 5424, то "-" | |
45 | Имя процесса | Нарушение спецификации. Спецификация требует указать имя приложения (java), но это не обеспечивает уникальность продукта | infomaximum |
5 | ID процесса (PID) | Если pid определить не удалось, то '-' | |
6 | MSGID события | Уникальный идентификатор события, основан на «инкрементирующем значении». Строковое значение типа события |
Таблица 2
Структурированные данные в журнале аудита
Поле | Обязательное | Описание |
---|---|---|
Meta | ||
sequenceId | Да | Идентификатор события, основан на «инкременте» |
Система: system@729368 | ||
version.platform | Да | Версия ядра |
version.proceset | Нет | Версия proceset |
Источник: source@729368 | ||
system | Да | Внутреннее действие системы |
remote_address remote_proxy | Да | Запросы без авторизации. Тип источника: «anonymous» remoteAddress – удаленный адрес, с которого пришел запрос; remoteProxy – если сервер находится за прокси, то через HTTP заголовок X-Real – IP можно указать реальный ip |
remoteAddress remoteProxy id sessionHash login | Да | Запрос пользователя. Тип источника: «employee»; remoteAddress – удаленный адрес, с которого пришел запрос; remoteProxy – если сервер находится за прокси, то через HTTP заголовок X-Real– IP можно указать реальный ip id – ID сотрудника; sessionHash – SHA256 от строкового значения сессии; login – логин сотрудника |
subtype remote_address remote_proxy id name login_AD domain_name | Запрос ключа API. Тип источника: «api_key» subtype ="AD" – тип авторизации через ключ API посредством политик AD; certificate – тип авторизации через ключ API посредством клиентской аутентификации (сертификатов безопасности); none – тип авторизации только через ключ API; remote_address – удаленный адрес, с которого пришел запрос; remote_proxy – если сервер находится за прокси, то через HTTP заголовок X-Real– IP, можно указать реальный ip id – ID ключа API; name – название ключа API; login_AD – логин сотрудника в AD (появляется только в том случае, если есть интеграция с AD); domain_name – доменное имя (появляется только в том случае, если есть интеграция с AD) | |
Объект над которым произведено действие: target@729368 | ||
Объект: «system» (Система) | ||
Initialize Start Stop crush | Да | События: Initialize – начало инициализации системы; Start – начало работы; Stop – окончание работы; crush – окончание работы с ошибкой |
Объект: «employee» (Сотрудник) | ||
Данные объекта сотрудник: ID – ID сотрудника; Login – логин сотрудника | ||
Create Update Remove Logon Logout Change_password Login_to_log_in Сhange_enabled_logon Adding_access_role Removing_access_role Adding_acccess_to_employee Removing_access_to_employee Сhange_enabled_monitoring | Да | Событие: Create – создание; Update – изменение; Remove – удаление; Logon – вход в систему; Logout – выход из системы; Change_password – смена пароля; Login_to_log_in – логин для входа в систему; Сhange_enabled_logon – блокировка/разблокировка сотрудников; Adding_access_role – назначение роли доступа; Removing_access_role – сброс (удаление) роли доступа у сотрудника; Adding_acccess_to_employee – предоставление доступа к сотруднику; Removing_access_to_employee – отзыв доступа к сотруднику; Сhange_enabled_monitoring – смена значения параметра *«Сбор активности» |
Объект: «setting» (Настройки) | ||
Сhange_complex_password Change_min_password_length Password_expiration_date Сhange_password_expiration_time Limit_login_attempts Сhange_max_invalid_logon_count Сhange_login Change_password Change_ldaps Change_domain_controller_host Change_account_status_sync_type Change_sync_period Create_domain_path Update_domain_path Remove_domain_path Create_certificate Update_certificate Remove_certificate Create_ad_attribute_scheme Update_ad_attribute_scheme Remove_ad_attribute_scheme Create_ad_employee_field_scheme Update_ad_employee_field_scheme Remove_ad_employee_field_scheme Change_activity_filter_type | Событие: Сhange_complex_password – включение/выключение контроля сложности пароля; Change_min_password_length – изменение минимальной длины пароля; Password_expiration_date – включение/выключение срока действия пароля; change_password_expiration_time – изменение времени жизни пароля; Limit_login_attempts – включение/выключения ограничения попыток входа; change_max_invalid_logon_count – изменение лимитов на попытки входа в систему; Сhange_login – изменение логина учетной записи AD; Change_password – изменение пароля учетной записи AD; Change_ldaps – изменение типа подключения к AD; Change_domain_controller_host – изменение контроллера домена AD; Change_account_status_sync_type – изменение типа синхронизации статуса учетной записи AD; Change_sync_period – изменение периода синхронизации с AD; Create_domain_path – добавление пути домена AD; Update_domain_path – изменение пути домена AD; Remove_domain_path – удаление пути домена AD; Create_certificate – добавление сертификата; Update_certificate – изменение сертификата; Remove_certificate – удаление сертификата; Create_ad_attribute_scheme – создание схемы пользовательского атрибута синхронизации AD; Update_ad_attribute_scheme – изменение схемы атрибута синхронизации AD; Remove_ad_attribute_scheme – удаление схемы атрибута синхронизации AD; Create_ad_employee_field_scheme – создание схемы поля сотрудника; Update_ad_employee_field_scheme – изменение схемы поля сотрудника; Remove_ad_employee_field_scheme – удаление схемы поля сотрудника; Change_activity_filter_type – смена значения у параметра «Режим фильтра» | |
Объект: «access_role» (Роли доступа) | ||
Create Update Remove Сhange_privilege | Данные объекта роли доступа: ID – ID сотрудника; Name – название роли доступа; Событие: Create – создание; Update – изменение; Remove – удаление; Сhange_privilege – Изменение | |
Объект: «authentication» (Аутентификация) | ||
Данные объекта аутентификация: id – ID аутентификации; name – название аутентификации; type – тип аутентификации | ||
Create Update Remove Change_complex_password Change_min_password_length Change_password_expiration_time Change_max_invalid_logon_count | Событие: Create – создание аутентификации; Update – изменение параметров аутентификации; Remove – удаление аутентификации; Change_complex_password – включение/выключение контроля сложности пароля; Change_min_password_length – изменение минимальной длины пароля; Change_password_expiration_time – изменение срока действия пароля; Change_max_invalid_logon_count – изменение лимитов на invalid logon | |
Объект: «api_key» (Ключи API) | ||
Данные объекта ключи API: ID – ID сотрудника; Name – название роли доступа | ||
Create Update Remove Сhange_privilege Logon Logout | Да | Событие: Create – создание; Update – изменение; Remove – удаление; Сhange_privilege – изменение привилегии; Logon – авторизация в системе; Logout – выход из системы (только для авторизации через AD) |
Объект: «department» (Отдел) | ||
ID – id отдела; Name – название отдела | ||
Create Update Remove | Да | Событие: Create – создание; Update – изменение; Remove – удаление |
Объект: «ad_sync» (Синхронизация Active Directory) | ||
Ad_sync_start Ad_sync_end | Да | Ad_sync_start – начало синхронизации с Active Directory; Ad_sync_end – окончание синхронизации с Active Directory |
Объект: «ad_account» (Интеграция Active Directory: аккаунт) | ||
Да | Данные объекта аккаунт AD: ID – ID учетной записи AD | |
Create Update Remove | Да | Создание связи с учетной записью AD; Обновление связи с учетной записью AD; Удаление связи с учетной записью AD |
Объект: «ad_attribute» (Интеграция Active Directory: атрибут) | ||
Данные объекта атрибут AD: ID – ID Атрибута AD; ad_attribute_scheme_id – ID схемы атрибута AD | ||
Create Update Remove | Да | Создание пользовательского атрибута; Обновление пользовательского атрибута; Удаление пользовательского атрибута |
Объект: «ad_employee_field» (Интеграция Active Directory: пользовательское поле) | ||
Данные объекта пользовательские поля: ID – ID поля сотрудника; ad_employee_field_scheme_id – ID схемы поля сотрудника | ||
Create Update Remove | Да | Создание пользовательского поля; Обновление пользовательского поля; Удаление пользовательского поля |
Объект: «ClickHouse_connection» (Настройка соединения с ClickHouse) | ||
Change_ssl Change_host Change_port Change_user Change_password | Да | Change_ssl – включение/выключение SSL; Change_host – изменение хоста; Change_port – изменение порта; Change_user – изменение логина; Change_password – изменение пароля |
Объект: «connection» (Подключения) | ||
Create Update Remove | Да | Create – создание подключения; Update – изменение параметров подключения; Remove – удаление подключения |
Объект: «black» (Черный список) | ||
ID – ID типа | ||
Create Update Remove | Да | Create – добавить маску активности; Update – изменить название маски активности; Remove – удаление маски активности |
Объект: «white» (Белый список) | ||
ID – ID типа | ||
Create Update Remove | Да | Create – добавить маску активности; Update – изменить название маски активности; Remove – удаление маски активности |
Объект: «connection» (Подключение в агенте автоматизации) | ||
Create Update Remove Connecting | Да | Create – создание; Update – изменение; Remove – удаление; Connecting – соединение |
Объект: «script» (Скрипт) | ||
Execute | Да | Execute - запуск скрипта |
Таблица 3
Типы событий
Тип события | Дополнительные параметры | Описание |
---|---|---|
Событие над объектом: «employee» (Сотрудник) | ||
Create | first_name second_name patronymic personnel_number login | first_name – имя; second_name – фамилия; patronymic – отчество; personnel_number – табельный номер; login – логин; email – электронная почта |
Update | old_first_name old_second_name old_patronymic old_personnel_number old_login old_email new_first_name new_second_name new_patronymic new_personnel_number new_login new_email new_position old_position new_department old_department | new_first_name – новое значение имени; old_first_name – старое значение имени; new_second_name – новое значение фамилии; old_second_name – старое значение фамилии; new_patronymic – новое значение отчества; old_patronymic – старое значение отчества; new_personnel_number – новое значение табельного номера; old_personnel_number – старое значение табельного номера; new_login – новое значение логина; old_login – старое значение логина; new_email – новое значение электронной почты; old_email – старое значение электронной почты; new_department – новое значение отдела; old_department – старое значение отдела |
Logon | status: – success; – invalid_logon; – disabled_logon; – expired_password; – invalid_logon_and_max_log on_attempts_exceed; – no_privileges session_hash | status – статус авторизации. Возможные значения: success – успешная; invalid_logon – неуспешная (неверные учетные данные); disabled_logon – отключен вход в систему; expired_password – срок действия пароля закончился; invalid_logon_and_max_logon – превышение количества попыток входа в систему; no_privileges – не установлена роль доступа; session_hash – хеш сессии |
Logout | cause: – timeout; – manual; – force. session_hash: | cause – причина; Timeout – истекло время жизни сессии; Manual – пользователь разлогинился; Force – система принудительно удалила сессию; session_hash – хеш сессии |
Сhange_password | cause – employee_update change_expiration_password; – reset_password; – set_password_by_invitation | cause – причина; employee_update – обновление пароля сотрудником; change_expiration_password – смена пароля с истекшим временем жизни; reset_password – сброс пароля; set_password_by_invitation – задание пароля при переходе по ссылке из приглашения |
Login_to_log_in | new_login old_login | new_login – новый логин; old_login – старый логин |
Сhange_enabled_logon | old_value: – true; – false. new_value: – true; – false | old_value – старое значение; new_value – новое значение; true – вкл.; false – выкл |
Adding_acces_role | access_role_id access_role_name | access_role_id – ID роли доступа; access_role_name – название роли доступа |
Removing_acces_role | access_role_id access_role_name | access_role_id – ID роли доступа; access_role_name – название роли доступа |
Adding_access_to_employee | employee_id login all: – true; | employee_id – id сотрудника; login – логин сотрудника; all – доступ ко всем сотрудникам; true – вкл |
Removing_access_to_employee | employee_id login all: – true; | employee_id – id сотрудника; login – логин сотрудника; all – доступ ко всем сотрудникам; true – вкл |
Change_enabled_monitoring | new_value old_value | new_value – новое значение параметра; old_value – старое значение параметра. Возможные значения: true – вкл; false – выкл |
Событие над объектом: «setting» (Настройки) | ||
Сhange_complex_password | new_value – true – false | new_value – новое значение; true – вкл; false – выкл |
Change_min_password_length | new_value old_value | new_value – новое значение; old_value – старое значение; |
Password_expiration_date | old_value: – true; – false. new_value: – true; – false | old_value – старое значение; new_value – новое значение; true – вкл.; false – выкл |
Сhange_password_expiration_time | new_value old_value | new_value – новое значение; old_value – старое значение |
Limit_login_attempts | old_value: – true; – false. new_value: – true; – false | old_value – старое значение; new_value – новое значение; true – вкл.; false – выкл |
Сhange_max_invalid_logon_count | new_value old_value | new_value – новое значение; old_value – старое значение |
Change_login | old_value new_value | old_value – старое значение; new_value – новое значение |
Сhange_password | – | – |
Change_ldaps | new_value old_value | old_value – старое значение; new_value – новое значение; true – вкл.; false – выкл |
Change_domain_controller_host | old_value new_value | old_value – старое значение; new_value – новое значение |
Change_account_status_sync_type | old_value new_value | old_value – старое значение; new_value – новое значение; simplex – односторонняя; duplex – двусторонняя |
Сhange_sync_period | old_value new_value | old_value – старое значение; new_value – новое значение |
Create_domain_path | ID name | ID – ID пути домена; name – название |
Update_domain_path | new_name old_name | new_name – новое название домена; old_name – старое название домена |
remove_domain_path | ID name | ID – ID пути домена; name – название |
create_certificate | ID alias | ID – ID сертификата; alias – название |
update_certificate | ID new_alias old_alias | ID – ID сертификата; new alias – новое название; old_alias – новое название |
remove_certificate | ID alias | ID – ID сертификата; alias – название |
create_ad_attribute_sc heme | ID Name Active Base: – true – false ad_employee_field_scheme_id | ID – ID схемы атрибута; Name – название; Active – активность; Base – предустановленная схема атрибута Возможные значения: True – вкл.; False – выкл.; ad_employee_field_scheme_id – ID схемы поля сотрудника |
Update_ad_attribute_s cheme | ID Name Active ad_employee_field_scheme_ id | ID – ID схемы атрибута; Name – название; Active – активность; ad_employee_field_scheme_id – ID схемы поля сотрудника |
Remove_ad_attribute_scheme | ID Name | ID – ID схемы атрибута; Name – название |
Create_ad_employee_field_scheme | ID Name Static | ID – ID схемы поля; Name – название; Static – предустановленная схема поля |
Update_ad_employee_field_scheme | ID Name | ID – ID схемы поля; Name – название |
Remove_ad_employee_field_scheme | ID Name | ID – ID схемы поля; Name – название |
Change_activity_filter_type | old_value – none – white – black new_value – none – white – black | old_value – старое значение; new_value – новое значение; none – выключен; white – белый список; black – черный список |
Событие над объектом: «access_role» (Роли доступа) | ||
Create | name | Name – название |
Update | old_name new_name | old_name – старое название; new_name – новое название |
Remove | ||
Сhange_privilege | privilege old_operations new_operations | Privilege – название привилегии; old_operations – старое значение операции доступа; new_operations – новое значение операции доступа |
Событие над объектом: «authentication» (Аутентификация) | ||
Create | name | name – название |
Update | new_name old_name | new_name – новое название; old_name – старое название |
Remove | ||
Change_complex_password | new_value old_value | new_value – новое значение параметра; old_value – старое значение параметра; Возможные значения: true – вкл; false – выкл |
Change_min_password_length | new_value old_value | new_value – новое значение параметра; old_value – старое значение параметра |
Change_password_expiration_time | new_value old_value | new_value – новое значение параметра; old_value – старое значение параметра |
Change_max_invalid_logon_count | new_value old_value | new_value – новое значение параметра; old_value – старое значение параметра |
Событие над объектом: «api_key» (Ключ API) | ||
Create | name | name – название |
Update | old_name new_name | old_name – старое название; new_name – новое название |
Remove | ||
Сhange_privilege | privilege old_operations new_operations | Privilege – название привилегии; old_operations – старое значение операции доступа; new_operations – новое значение операции доступа |
Logon | Status SessionHash | status – статус. Возможные значения: Success – успешно; Fail – ошибка; sessionHash – (не обязательное поле, только для авторизации через AD) |
Logout (только для авторизации через AD) | Cause Session_hash | cause – причина. Возможные значения: – Timeout; – Manual; – Force session_hash – хеш сессии |
Событие над объектом: «department» (Отдел) | ||
Create | name id | name – название отдела; id – id отдела |
Update | old_name new_name id | old_name – старое название отдела; new_name – новое название отдела; id – id отдела |
Remove | name id | name – название отдела; id – id отдела |
События над объектом: «ad_account» (Интеграция Active Directory: аккаунт) | ||
Create | guid employee_id distinguished_name user_principal_name common_account_name | guid – objectGUID атрибут; employee_id – ID сотрудника; distinguished_name – отличительное имя; user_principal_name – имя учетной записи; common_account_name – имя учетной записи |
Update | new_guid old_guid new_employee_id old_employee_id new_distinguished_name old_distinguished_name new_user_principal_name old_user_principal_name new_common_account_name old_common_account_name | new_guid – новое значение guid; old_guid – старое значение guid; new_employee_id – новое значение employee_id; old_employee_id – старое значение employee_id; new_distinguished_name – новое значение distinguished_name; old_distinguished_name – старое значение distinguished_name; new_user_principal_name – новое значение user_principal_name; old_user_principal_name – старое значение user_principal_name; new_common_account_name – новое значение common_account_name; old_common_account_name – старое значение common_account_name |
Remove | guid employee_id user_principal_name common_account_name | guid – objectGUID атрибут; employee_id – ID сотрудника; user_principal_name – имя учетной записи; common_account_name – имя учетной записи |
Событие над объектом: «ad_attribute» (Интеграция Active Directory: атрибут) | ||
Create | ad_attribute_scheme_id ad_account_id value | ad_attribute_scheme_id – ID схемы атрибута AD; ad_account_id – ID учетной записи AD; value – значение атрибута |
Update | new_ad_attribute_scheme_id old_ad_attribute_scheme_id new_ad_account_id old_ad_account_id new_value old_value | new_ad_attribute_scheme_id – новое значение ID схемы атрибута AD; old_ad_attribute_scheme_id – старое значение ID схемы атрибута AD; new_ad_account_id – новое значение ID учетной записи AD; old_ad_account_id – старое значение ID учетной записи AD; new_value – новое значение атрибута; old_value – старое значение атрибута |
Событие над объектом: «ad_employee_field» (Интеграция Active Directory: пользовательское поле) | ||
Create | ad_employee_field_scheme_ id employee_id value | ad_employee_field_scheme_id – ID схемы поля сотрудника; employee_id – ID Сотрудника; value – значение поля |
Update | new_ad_employee_field_scheme_id old_ad_employee_field_scheme_id new_employee_id old_employee_id new_value old_value | new_ad_employee_field_scheme_id – новое значение ID схемы поля сотрудника; old_ad_employee_field_scheme_id – старое значение ID схемы поля сотрудника; new_employee_id – новое значение ID сотрудника; old_employee_id – старое значение ID сотрудника; new_value – новое значение поля; old_value – старое значение поля |
Событие над объектом: «ClickHouse_connection» (Настройка соединения с ClickHouse) | ||
Change_ssl | true false | true – включение SSL; false – выключение SSL |
Change_host | new_value old_value | new_value – новое значение; old_value – старое значение |
Change_port | new_value old_value | new_value – новое значение; old_value – старое значение |
Change_user | new_value old_value | new_value – новое значение; old_value – старое значение |
Change_password | – | – |
Событие над объектом: «connection» (Подключения) | ||
Create | source name host port user name ssl | source – источник; name – название; host – хост; port – порт; user_name – имя пользователя; ssl – SSL |
Update | new_source old_source new_ssl old_ssl new_name old_name new_host old_host new_port old_port new_user_name old_user_name new_login old_login | new_source – новый источник; old_source – старый источник; new_ssl – новое значение SSL; old_ssl – старое значение SSL; new_name – новое название; old_name – старое название; new_host – новый хост; old_host – старый хост; new_port – новый порт; old_port – старый порт; new_user_name – новое имя пользователя; old_user_name – старое имя пользователя; new_login – новый логин; old_login – старый логин |
Remove | – | – |
Событие над объектом: «black» (Черный список) | ||
Create | pattern | pattern – название маски активности |
Update | old_pattern new_pattern | old_pattern – старое название; new_pattern – новое название |
Remove | pattern | pattern – название маски активности |
Событие над объектом: «white» (Белый список) | ||
Create | pattern | pattern – название маски активности |
Update | old_pattern new_pattern | old_pattern – старое название; new_pattern – новое название |
Remove | pattern | pattern – название маски активности |
Событие над объектом: «connection» (Подключение в агенте автоматизации) | ||
Create | source name host port username ssl id workspace_id name_service name_database type_encryption | source – источник (тип подключения, например, PostgreSQL, CH и пр.); name – название подключения в пространстве; host – хост, адрес подключения; port – порт сервера, к которому выполняется попытка соединения; username – логин для подключения, задаваемый в Proceset; ssl – сертификат (Возможные значения ssl: - true; - false); id – id подключения; workspace_id – id пространства, в котором создаётся подключение; name_service (опционально для некоторых подключений) – название службы (например, в Oracle); name_database (опционально для некоторых подключений) – название базы данных (например, в PostgreSQL); type_encryption (опционально для некоторых подключений) – тип шифрования (например, в Почта SMPT) (Возможные значения type_encryption: - SSL; - TLS) |
Update | old_name new_name old_host new_host old_port new_port old_username new_username old_ssl new_ssl old_name_service new_name_service old_name_database new_name_database old_type_encryption new_type_encryption id workspace_id | old_name – старое название подключения в Proceset (в пространстве); new_name – новое название подключения; old_host – старый хост, адрес подключения; new_host – новый хост, адрес подключения; old_port – старый порт сервера, к которому выполняется попытка соединения; new_port – новый порт сервера, к которому выполняется попытка соединения; old_username – логин для подключения, задаваемый в Proceset; new_username – логин для подключения, задаваемый в Proceset; old_ssl – старый сертификат; new_ssl – новый сертификат (Возможные значения ssl: - true; - false); old_name_service (опционально для некоторых подключений) – старое название службы (например, в Oracle); new_name_service (опционально для некоторых подключений) – новое название службы (например, в Oracle); old_name_database (опционально для некоторых подключений) – старое название базы данных (например, в PostgreSQL); new_name_database (опционально для некоторых подключений) – новое название базы данных (например, в PostgreSQL); old_type_encryption (опционально для некоторых подключений) – старый тип шифрования (например, в Почта SMPT); new_type_encryption (опционально для некоторых подключений) – новый тип шифрования (например, в Почта SMPT) (Возможные значения type_encryption: – SSL; – TLS); id – id подключения, которое обновляется; workspace_id – id пространства, в котором обновляется подключение |
Remove | id workspace_id | id – id подключения, которое удаляется; workspace_id – id пространства, в котором удаляется подключение |
Connecting | source name host port username ssl id script_id workspace_id status query error_name | script_id – id скрипта, в котором используется подключение; source – источник (тип подключения, например, PostgreSQL, CH и пр.); name – название подключения; host – хост, адрес подключения; port – порт сервера, к которому выполняется попытка соединения; username – логин для подключения, задаваемый в Proceset; ssl – сертификат (Возможные значения ssl: - true; - false); id – id подключения; workspace_id – id пространства, из которого выполняется запрос; status – статус выполнения запроса (Возможные значения status: - success – успешное выполнение запроса; - unsuccessful – неуспешное выполнение запроса; - query – полный запрос, который выполнятся; - error_name – полное название ошибки, которое возвращяется системой в случае, если соединение неуспешное) |
Событие над объектом: «script» (Скрипт) | ||
Execute | script id | script id – идентификатор скрипта |
События «попытки несанкционированного доступа к системе» не логируются, т.к. защита от несанкционированного доступа производится на уровне файловой системы.
Логирование «результатов контроля целостности АС контроля работоспособности СЗИ» не осуществляется. Также не осуществляется подсчет данных хеша в конфигурационном файле, так как данная функция не гарантирует их сохранность от изменений. Защита может осуществляться только на уровне файловой системы.
Формат записи:
37<1> <time> <hostname> infomaximum <pid> <MSGID> [meta sequenceId=""][system@729368 version.core="1.0.0" version.proceset="1.0.0"][source@729368 ...][event@729368 ...][target@729368 ...]
Пример записи в журнале аудита:
<37>1~2019-03-26T16:07:06+03:00~infomaximum61~infomaximum~9160~update~[metasequenceId="80"]~[system@729368 version.platform="1.0.0" version.proceset="1.0.0"]~[source@729368 sessionHash="3915d830623a26b61a044d1ad9c1bebb6e61705a969559e1c5f436d2210aabcc" id="1" type="employee" login="admin" remoteAddress="10.0.75.1"]~[event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com"]~[target@729368 module="platform" id="2"type="employee" login="vpetrov"]
Таблица 4
Таблица соответствие видов событий журнала
Информация о событие в терминах ДЗИ | Элемент в строке в журнале аудита | Примечание |
---|---|---|
Уникальный номер строки о событии ИБ | [meta sequenceId="80"] | Значение meta sequenceId является уникальным номером строки о событии |
Название АС-источника информации о событии | [source@729368 … type="employee"…] | Значение type в source является типом источника события. Подробнее в Таблице 2 |
Версия источника информации о событии | [system@729368 version.platform= "1.0.0" version.proceset="1.0.0"] | Значение version.platform и version.proceset является информацией об источнике события. Подробнее в Таблице 3 |
Системное имя (логин) пользователя-инициатора события | [source@729368 … id="1" type="employee" login="admin"…] | Значение id="1", "login="admin" является информацией о пользователе-инициаторе, а именно: login – логин, id – порядковый номер пользователя. Подробнее в Таблице 2 |
IP-адрес хоста-источника события | [source@729368… remoteAddress="10.0.75.1"] | Значение remoteAddress является IP-адресом хоста-источника события |
Системное имя (логин) пользователя получателя | [target@729368 …id="1" type="employee" login="admin"] | Значения в target id="1"type="employee" login="admin" являются информацией о пользователе-получателе, где id – порядковый номер сотрудника, login – логин сотрудника, type – тип получателя |
Системный идентификатор сообщения о событии | update | Идентификатором-сообщением о событии может быть значение. <MSGID> Подробнее в Таблице 2 |
Системное время источника события | 2019-03-26T16:07:06+03:00 | Время источника события фиксируется в строке под <time>. Формат даты: yyyy-MM-ddTHH:mm:ssZ |
Текст сообщения в максимально подробном виде, включая старые и новые значения измененных свойств; | [event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com] | Где old_first_name – старое значение имени, old_email – старое значение электронного адреса, new_first_name – новое значение имени, new_email – новое значение электронной почты |
Полное имя процесса(службы); результат (успех/отказ) | Результат (успех/отказ) фиксируется не для всех событий в системе |
Ротация журнала аудита
Все журналирование системы основано на компоненте Logback (<https://logback.qos.ch/>).
По умолчанию в системе применяется файл конфигурации: C:\ProgramData\Infomaximum\logback.xml. Также в системе возможны варианты с переопределением файла конфигурации, при этом используется механизм приоритезации загрузки файла конфигурации.
Подробно о формате файла конфигурации, а также о приоритетах загрузки файлов конфигурации можно посмотреть в документации:
https://logback.qos.ch/manual/configuration.html.
По умолчанию в системе включена ротация логов, для журнала безопасности применяются следующие правила: файл журнала аудита упаковывается в архив и переименовывается в соответствии с шаблоном ("security.%d{yyyy-MM-dd}.%i.log.gz") при следующих условиях:
- наступили следующие сутки;
- журнал лога превысил размер в 50 Мб.
По умолчанию файлы журнала безопасности хранятся 3 года. По истечении этого времени старые журналы безопасности удаляются. Параметры, которые отвечают за ротацию логов, настраиваются в файле logback.xml. Путь файла: C:\ProgramData\Infomaximum.
Горячее обновление конфигурации
В системе по умолчанию предусмотрен механизм «горячего» обновления конфигурации. За это отвечают параметры «scan» и «scanPeriod». Сканирование происходит каждые 30 секунд. Этот механизм позволяет временно изменять правила логирования, вплоть до полного его отключения (<configuration scan="true" scanPeriod="30 seconds">).
Журналы аудита на уровне ОС
Журналы аудита на уровне ОС:
- Application (C:\Windows\System32\winevt\Logs\Application.evtx);
- Security (C:\Windows\System32\winevt\Logs\Security.evtx);
- System (C:\Windows\System32\winevt\Logs\System.evtx).
Доступ к журналам ограничен учетными записями:
- Administrators (локальная группа);
- Event Log Readers (локальная группа);
- SYSTEM;
- EventLog.
Доступ к журналу аудита осуществляется через системную утилиту Event Viewer.