8 800 555-89-02
Войти
Infomaximum/Документация
12.2022

Журналы аудита

К перечню журналов аудита относится журнал событий безопасности и журналы аудита на уровне ОС. Журнал событий безопасности по умолчанию располагается C:\Program Data\Infomaximum\logs\security.log.

Размер журналов аудита системы

Предположительный размер файлов лога системы вычисляется по формуле:

Память в год = Количество сотрудников*1 Мб.

Файл logback.xml позволяет настраивать ротацию логов. Логи безопасности по умолчанию хранятся 3 года. Если период недостаточен, необходимо исправить файл конфигурации.

Описание журналов аудита

Подробнее события логирования представлены в Таблице 1, Таблице 2, Таблице 3, Таблице 4.

События, которые не логируются на данный момент в системе:

  • очистка журнала событий;
  • изменение настроек аудита (включение/отключение, изменение уровня логирования);
  • копирование объекта;
  • архивирование данных;
  • попытка удаления журналов аудита;
  • изменение конфигурации системы (конфигурационных файлов, настроек СУБД, настроек ПО);
  • остановка/сбой подсистемы (компонентов, сервисов, инстансов).

Таблица 1

Спецификация полей журнала аудита

ОписаниеКомментарийЗарезервированное значение
1ПриоритетВсе сообщения идут с одним приоритетом: 4*8+537
2Версия syslog1
3HOSTNAMEИмя сервера, если определить не удалось или имя не соответствует требованиям RFC 5424, то "-"
45Имя процессаНарушение спецификации. Спецификация требует указать имя приложения (java), но это не обеспечивает уникальность продуктаinfomaximum
5ID процесса (PID)Если pid определить не удалось, то '-'
6MSGID событияУникальный идентификатор события, основан на «инкрементирующем значении». Строковое значение типа события

Таблица 2

Структурированные данные в журнале аудита

ПолеОбязательноеОписание
Meta
sequenceIdДаИдентификатор события, основан на «инкременте»
Система: system@729368
version.platformДаВерсия ядра
version.procesetНетВерсия proceset
Источник: source@729368
systemДаВнутреннее действие системы
remote_address
remote_proxy
ДаЗапросы без авторизации.
Тип источника: «anonymous»
remoteAddress – удаленный адрес, с которого пришел запрос;
remoteProxy – если сервер находится за прокси,
то через HTTP заголовок X-Real – IP можно указать реальный ip
remoteAddress
remoteProxy
id
sessionHash
login
ДаЗапрос пользователя.
Тип источника: «employee»;
remoteAddress – удаленный адрес, с которого пришел запрос;
remoteProxy – если сервер находится за прокси,
то через HTTP заголовок X-Real– IP можно указать реальный ip id – ID сотрудника;
sessionHash – SHA256 от строкового значения сессии;
login – логин сотрудника
subtype
remote_address
remote_proxy
id
name
login_AD
domain_name
Запрос ключа API.
Тип источника: «api_key»
subtype ="AD" – тип авторизации через ключ API посредством политик AD;
certificate – тип авторизации через ключ API посредством клиентской аутентификации (сертификатов безопасности);
none – тип авторизации только через ключ API;
remote_address – удаленный адрес, с которого пришел запрос;
remote_proxy – если сервер находится за прокси,
то через HTTP заголовок X-Real– IP, можно указать реальный ip id – ID ключа API;
name – название ключа API;
login_AD – логин сотрудника в AD (появляется только в том случае, если есть интеграция с AD);
domain_name – доменное имя (появляется только в том случае, если есть интеграция с AD)
Объект над которым произведено действие: target@729368
Объект: «system» (Система)
Initialize
Start
Stop
crush
ДаСобытия:
Initialize – начало инициализации системы;
Start – начало работы;
Stop – окончание работы;
crush – окончание работы с ошибкой
Объект: «employee» (Сотрудник)
Данные объекта сотрудник:
ID – ID сотрудника;
Login – логин сотрудника
Create
Update
Remove
Logon
Logout
Change_password
Login_to_log_in
Сhange_enabled_logon
Adding_access_role
Removing_access_role
Adding_acccess_to_employee
Removing_access_to_employee
Сhange_enabled_monitoring
ДаСобытие:
Create – создание;
Update – изменение;
Remove – удаление;
Logon – вход в систему;
Logout – выход из системы;
Change_password – смена пароля;
Login_to_log_in – логин для входа в систему;
Сhange_enabled_logon – блокировка/разблокировка сотрудников;
Adding_access_role – назначение роли доступа;
Removing_access_role – сброс (удаление) роли доступа у сотрудника;
Adding_acccess_to_employee – предоставление доступа к сотруднику;
Removing_access_to_employee – отзыв доступа к сотруднику;
Сhange_enabled_monitoring – смена значения параметра *«Сбор активности»
Объект: «setting» (Настройки)
Сhange_complex_password
Change_min_password_length
Password_expiration_date
Сhange_password_expiration_time
Limit_login_attempts
Сhange_max_invalid_logon_count
Сhange_login
Change_password
Change_ldaps
Change_domain_controller_host
Change_account_status_sync_type
Change_sync_period
Create_domain_path
Update_domain_path
Remove_domain_path
Create_certificate
Update_certificate
Remove_certificate
Create_ad_attribute_scheme
Update_ad_attribute_scheme
Remove_ad_attribute_scheme
Create_ad_employee_field_scheme
Update_ad_employee_field_scheme
Remove_ad_employee_field_scheme
Change_activity_filter_type
Событие:
Сhange_complex_password – включение/выключение контроля сложности пароля;
Change_min_password_length – изменение минимальной длины пароля;
Password_expiration_date – включение/выключение срока действия пароля;
change_password_expiration_time – изменение времени жизни пароля;
Limit_login_attempts – включение/выключения ограничения попыток входа;
change_max_invalid_logon_count – изменение лимитов на попытки входа в систему;
Сhange_login – изменение логина учетной записи AD;
Change_password – изменение пароля учетной записи AD;
Change_ldaps – изменение типа подключения к AD;
Change_domain_controller_host – изменение контроллера домена AD;
Change_account_status_sync_type – изменение типа синхронизации статуса учетной записи AD;
Change_sync_period – изменение периода синхронизации с AD;
Create_domain_path – добавление пути домена AD;
Update_domain_path – изменение пути домена AD;
Remove_domain_path – удаление пути домена AD;
Create_certificate – добавление сертификата;
Update_certificate – изменение сертификата;
Remove_certificate – удаление сертификата;
Create_ad_attribute_scheme – создание схемы пользовательского атрибута синхронизации AD;
Update_ad_attribute_scheme – изменение схемы атрибута синхронизации AD;
Remove_ad_attribute_scheme – удаление схемы атрибута синхронизации AD;
Create_ad_employee_field_scheme – создание схемы поля сотрудника;
Update_ad_employee_field_scheme – изменение схемы поля сотрудника;
Remove_ad_employee_field_scheme – удаление схемы поля сотрудника;
Change_activity_filter_type – смена значения у параметра «Режим фильтра»
Объект: «access_role» (Роли доступа)
Create
Update
Remove
Сhange_privilege
Данные объекта роли доступа:
ID – ID сотрудника;
Name – название роли доступа;
Событие: Create – создание;
Update – изменение;
Remove – удаление;
Сhange_privilege – Изменение
Объект: «authentication» (Аутентификация)
Данные объекта аутентификация:
id – ID аутентификации;
name – название аутентификации;
type – тип аутентификации
Create
Update
Remove
Change_complex_password
Change_min_password_length
Change_password_expiration_time
Change_max_invalid_logon_count
Событие:
Create – создание аутентификации;
Update – изменение параметров аутентификации;
Remove – удаление аутентификации;
Change_complex_password – включение/выключение контроля сложности пароля;
Change_min_password_length – изменение минимальной длины пароля;
Change_password_expiration_time – изменение срока действия пароля; Change_max_invalid_logon_count – изменение лимитов на invalid logon
Объект: «api_key» (Ключи API)
Данные объекта ключи API:
ID – ID сотрудника;
Name – название роли доступа
Create
Update
Remove
Сhange_privilege
Logon
Logout
ДаСобытие:
Create – создание;
Update – изменение;
Remove – удаление;
Сhange_privilege – изменение привилегии;
Logon – авторизация в системе;
Logout – выход из системы (только для авторизации через AD)
Объект: «department» (Отдел)
ID – id отдела;
Name – название отдела
Create
Update
Remove
ДаСобытие:
Create – создание;
Update – изменение;
Remove – удаление
Объект: «ad_sync» (Синхронизация Active Directory)
Ad_sync_start
Ad_sync_end
ДаAd_sync_start – начало синхронизации с Active Directory;
Ad_sync_end – окончание синхронизации с Active Directory
Объект: «ad_account» (Интеграция Active Directory: аккаунт)
ДаДанные объекта аккаунт AD:
ID – ID учетной записи AD
Create
Update
Remove
ДаСоздание связи с учетной записью AD;
Обновление связи с учетной записью AD;
Удаление связи с учетной записью AD
Объект: «ad_attribute» (Интеграция Active Directory: атрибут)
Данные объекта атрибут AD:
ID – ID Атрибута AD;
ad_attribute_scheme_id – ID схемы атрибута AD
Create
Update
Remove
ДаСоздание пользовательского атрибута;
Обновление пользовательского атрибута;
Удаление пользовательского атрибута
Объект: «ad_employee_field» (Интеграция Active Directory: пользовательское поле)
Данные объекта пользовательские поля:
ID – ID поля сотрудника;
ad_employee_field_scheme_id – ID схемы поля сотрудника
Create
Update
Remove
ДаСоздание пользовательского поля;
Обновление пользовательского поля;
Удаление пользовательского поля
Объект: «ClickHouse_connection» (Настройка соединения с ClickHouse)
Change_ssl
Change_host
Change_port
Change_user
Change_password
ДаChange_ssl – включение/выключение SSL;
Change_host – изменение хоста;
Change_port – изменение порта;
Change_user – изменение логина;
Change_password – изменение пароля
Объект: «connection» (Подключения)
Create
Update
Remove
ДаCreate – создание подключения;
Update – изменение параметров подключения;
Remove – удаление подключения
Объект: «black» (Черный список)
ID – ID типа
Create
Update
Remove
ДаCreate – добавить маску активности;
Update – изменить название маски активности;
Remove – удаление маски активности
Объект: «white» (Белый список)
ID – ID типа
Create
Update
Remove
ДаCreate – добавить маску активности;
Update – изменить название маски активности;
Remove – удаление маски активности
Объект: «connection» (Подключение в агенте автоматизации)
Create
Update
Remove
Connecting
Create – создание;
Update – изменение;
Remove – удаление;
Connecting – соединение

Таблица 3

Типы событий

Тип событияДополнительные параметрыОписание
Событие над объектом: «employee» (Сотрудник)
Createfirst_name
second_name
patronymic
personnel_number
login
email
first_name – имя;
second_name – фамилия;
patronymic – отчество;
personnel_number – табельный номер;
login – логин;
email – электронная почта
Updateold_first_name
old_second_name
old_patronymic
old_personnel_number
old_login
old_email
new_first_name
new_second_name
new_patronymic
new_personnel_number
new_login
new_email
new_position
old_position
new_department
old_department
new_first_name – новое значение имени;
old_first_name – старое значение имени;
new_second_name – новое значение фамилии;
old_second_name – старое значение фамилии;
new_patronymic – новое значение отчества;
old_patronymic – старое значение отчества;
new_personnel_number – новое значение табельного номера;
old_personnel_number – старое значение табельного номера;
new_login – новое значение логина;
old_login – старое значение логина;
new_email – новое значение электронной почты;
old_email – старое значение электронной почты;
new_department – новое значение отдела;
old_department – старое значение отдела
Logonstatus:
– success;
– invalid_logon;
– disabled_logon;
– expired_password;
– invalid_logon_and_max_log on_attempts_exceed;
– no_privileges session_hash
status – статус авторизации.
Возможные значения:
success – успешная;
invalid_logon – неуспешная (неверные учетные данные);
disabled_logon – отключен вход в систему;
expired_password – срок действия пароля закончился;
invalid_logon_and_max_logon – превышение количества попыток входа в систему;
no_privileges – не установлена роль доступа;
session_hash – хеш сессии
Logoutcause: – timeout;
– manual;
– force.
session_hash:
cause – причина; Timeout – истекло время жизни сессии; Manual – пользователь разлогинился; Force – система принудительно удалила сессию; session_hash – хеш сессии
Сhange_passwordcause – employee_update
change_expiration_password;
– reset_password;
– set_password_by_invitation
cause – причина;
employee_update – обновление пароля сотрудником;
change_expiration_password – смена пароля с истекшим временем жизни;
reset_password – сброс пароля;
set_password_by_invitation – задание пароля при переходе по ссылке из приглашения
Login_to_log_innew_login
old_login
new_login – новый логин;
old_login – старый логин
Сhange_enabled_logonold_value: – true;
– false.
new_value: – true;
– false
old_value – старое значение;
new_value – новое значение;
true – вкл.;
false – выкл
Adding_acces_roleaccess_role_id
access_role_name
access_role_id – ID роли доступа;
access_role_name – название роли доступа
Removing_acces_roleaccess_role_id
access_role_name
access_role_id – ID роли доступа;
access_role_name – название роли доступа
Adding_access_to_employeeemployee_id login all: – true;employee_id – id сотрудника;
login – логин сотрудника;
all – доступ ко всем сотрудникам;
true – вкл
Removing_access_to_employeeemployee_id login all: – true;employee_id – id сотрудника;
login – логин сотрудника;
all – доступ ко всем сотрудникам;
true – вкл
Change_enabled_monitoringnew_value
old_value
new_value – новое значение параметра;
old_value – старое значение параметра.
Возможные значения:
true – вкл;
false – выкл
Событие над объектом: «setting» (Настройки)
Сhange_complex_passwordnew_value – true
– false
new_value – новое значение;
true – вкл;
false – выкл
Change_min_password_lengthnew_value
old_value
new_value – новое значение;
old_value – старое значение;
Password_expiration_dateold_value: – true;
– false.
new_value: – true;
– false
old_value – старое значение;
new_value – новое значение;
true – вкл.;
false – выкл
Сhange_password_expiration_timenew_value
old_value
new_value – новое значение;
old_value – старое значение
Limit_login_attemptsold_value: – true;
– false. new_value: – true;
– false
old_value – старое значение;
new_value – новое значение;
true – вкл.;
false – выкл
Сhange_max_invalid_logon_countnew_value
old_value
new_value – новое значение;
old_value – старое значение
Change_loginold_value
new_value
old_value – старое значение;
new_value – новое значение
Сhange_password
Change_ldapsnew_value
old_value
old_value – старое значение;
new_value – новое значение;
true – вкл.;
false – выкл
Change_domain_controller_hostold_value
new_value
old_value – старое значение;
new_value – новое значение
Change_account_status_sync_typeold_value
new_value
old_value – старое значение;
new_value – новое значение;
simplex – односторонняя;
duplex – двусторонняя
Сhange_sync_periodold_value
new_value
old_value – старое значение;
new_value – новое значение
Create_domain_pathID
name
ID – ID пути домена;
name – название
Update_domain_pathnew_name
old_name
new_name – новое название домена;
old_name – старое название домена
remove_domain_pathID
name
ID – ID пути домена;
name – название
create_certificateID
alias
ID – ID сертификата;
alias – название
update_certificateID
new_alias
old_alias
ID – ID сертификата;
new alias – новое название;
old_alias – новое название
remove_certificateID
alias
ID – ID сертификата;
alias – название
create_ad_attribute_sc hemeID
Name
Active
Base: – true
– false
ad_employee_field_scheme_id
ID – ID схемы атрибута;
Name – название;
Active – активность;
Base – предустановленная схема атрибута Возможные значения:
True – вкл.;
False – выкл.;
ad_employee_field_scheme_id – ID схемы поля сотрудника
Update_ad_attribute_s chemeID
Name
Active
ad_employee_field_scheme_ id
ID – ID схемы атрибута;
Name – название;
Active – активность;
ad_employee_field_scheme_id – ID схемы поля сотрудника
Remove_ad_attribute_schemeID
Name
ID – ID схемы атрибута;
Name – название
Create_ad_employee_field_schemeID
Name
Static
ID – ID схемы поля;
Name – название;
Static – предустановленная схема поля
Update_ad_employee_field_schemeID
Name
ID – ID схемы поля;
Name – название
Remove_ad_employee_field_schemeID
Name
ID – ID схемы поля;
Name – название
Change_activity_filter_typeold_value – none
– white
– black
new_value – none
– white
– black
old_value – старое значение;
new_value – новое значение;
none – выключен;
white – белый список;
black – черный список
Событие над объектом: «access_role» (Роли доступа)
CreatenameName – название
Updateold_name
new_name
old_name – старое название;
new_name – новое название
Remove
Сhange_privilegeprivilege
old_operations
new_operations
Privilege – название привилегии;
old_operations – старое значение операции доступа;
new_operations – новое значение операции доступа
Событие над объектом: «authentication» (Аутентификация)
Createnamename – название
Updatenew_name
old_name
new_name – новое название;
old_name – старое название
Remove
Change_complex_passwordnew_value
old_value
new_value – новое значение параметра;
old_value – старое значение параметра;
Возможные значения:
true – вкл;
false – выкл
Change_min_password_lengthnew_value
old_value
new_value – новое значение параметра;
old_value – старое значение параметра
Change_password_expiration_timenew_value
old_value
new_value – новое значение параметра;
old_value – старое значение параметра
Change_max_invalid_logon_countnew_value
old_value
new_value – новое значение параметра;
old_value – старое значение параметра
Событие над объектом: «api_key» (Ключ API)
Createnamename – название
Updateold_name
new_name
old_name – старое название;
new_name – новое название
Remove
Сhange_privilegeprivilege
old_operations
new_operations
Privilege – название привилегии;
old_operations – старое значение операции доступа;
new_operations – новое значение операции доступа
LogonStatus
SessionHash
status – статус.
Возможные значения:
Success – успешно;
Fail – ошибка;
sessionHash – (не обязательное поле,
только для авторизации через AD)
Logout (только для авторизации через AD)Cause
Session_hash
cause – причина.
Возможные значения: – Timeout;
– Manual;
– Force session_hash – хеш сессии
Событие над объектом: «department» (Отдел)
Createname
id
name – название отдела;
id – id отдела
Updateold_name
new_name
id
old_name – старое название отдела;
new_name – новое название отдела;
id – id отдела
Removename
id
name – название отдела;
id – id отдела
События над объектом: «ad_account» (Интеграция Active Directory: аккаунт)
Createguid
employee_id
distinguished_name
user_principal_name
common_account_name
guid – objectGUID атрибут;
employee_id – ID сотрудника;
distinguished_name – отличительное имя;
user_principal_name – имя учетной записи;
common_account_name – имя учетной записи
Updatenew_guid
old_guid
new_employee_id
old_employee_id
new_distinguished_name
old_distinguished_name
new_user_principal_name
old_user_principal_name
new_common_account_name
old_common_account_name
new_guid – новое значение guid;
old_guid – старое значение guid;
new_employee_id – новое значение employee_id;
old_employee_id – старое значение employee_id;
new_distinguished_name – новое значение distinguished_name;
old_distinguished_name – старое значение distinguished_name;
new_user_principal_name – новое значение user_principal_name;
old_user_principal_name – старое значение user_principal_name;
new_common_account_name – новое значение common_account_name;
old_common_account_name – старое значение common_account_name
Removeguid
employee_id
user_principal_name
common_account_name
guid – objectGUID атрибут;
employee_id – ID сотрудника;
user_principal_name – имя учетной записи;
common_account_name – имя учетной записи
Событие над объектом: «ad_attribute» (Интеграция Active Directory: атрибут)
Createad_attribute_scheme_id
ad_account_id
value
ad_attribute_scheme_id – ID схемы атрибута AD;
ad_account_id – ID учетной записи AD;
value – значение атрибута
Updatenew_ad_attribute_scheme_id
old_ad_attribute_scheme_id
new_ad_account_id
old_ad_account_id
new_value
old_value
new_ad_attribute_scheme_id – новое значение ID схемы атрибута AD;
old_ad_attribute_scheme_id – старое значение ID схемы атрибута AD;
new_ad_account_id – новое значение ID учетной записи AD;
old_ad_account_id – старое значение ID учетной записи AD;
new_value – новое значение атрибута;
old_value – старое значение атрибута
Событие над объектом: «ad_employee_field» (Интеграция Active Directory: пользовательское поле)
Createad_employee_field_scheme_ id
employee_id
value
ad_employee_field_scheme_id – ID схемы поля сотрудника;
employee_id – ID Сотрудника;
value – значение поля
Updatenew_ad_employee_field_scheme_id
old_ad_employee_field_scheme_id
new_employee_id
old_employee_id
new_value
old_value
new_ad_employee_field_scheme_id –
новое значение ID схемы поля сотрудника;
old_ad_employee_field_scheme_id –
старое значение ID схемы поля сотрудника;
new_employee_id – новое значение ID сотрудника;
old_employee_id – старое значение ID сотрудника;
new_value – новое значение поля;
old_value – старое значение поля
Событие над объектом: «ClickHouse_connection» (Настройка соединения с ClickHouse)
Change_ssltrue
false
true – включение SSL;
false – выключение SSL
Change_hostnew_value
old_value
new_value – новое значение;
old_value – старое значение
Change_portnew_value
old_value
new_value – новое значение;
old_value – старое значение
Change_usernew_value
old_value
new_value – новое значение;
old_value – старое значение
Change_password
Событие над объектом: «connection» (Подключения)
Createsource
name
host
port
user name
ssl
source – источник;
name – название;
host – хост;
port – порт;
user_name – имя пользователя;
ssl – SSL
Updatenew_source
old_source
new_ssl
old_ssl
new_name
old_name
new_host
old_host
new_port
old_port
new_user_name
old_user_name
new_login
old_login
new_source – новый источник;
old_source – старый источник;
new_ssl – новое значение SSL;
old_ssl – старое значение SSL;
new_name – новое название;
old_name – старое название;
new_host – новый хост;
old_host – старый хост;
new_port – новый порт;
old_port – старый порт;
new_user_name – новое имя пользователя;
old_user_name – старое имя пользователя;
new_login – новый логин;
old_login – старый логин
Remove
Событие над объектом: «black» (Черный список)
Createpatternpattern – название маски активности
Updateold_pattern
new_pattern
old_pattern – старое название;
new_pattern – новое название
Removepatternpattern – название маски активности
Событие над объектом: «white» (Белый список)
Createpatternpattern – название маски активности
Updateold_pattern
new_pattern
old_pattern – старое название;
new_pattern – новое название
Removepatternpattern – название маски активности
Событие над объектом: «connection» (Подключение в агенте автоматизации)
createsource
name
host
user_name
ssl
new_source
new_host
new_name
new_port
new_user_name
new_login
new_ssl
script_id
login host
source – источник (тип подключения);
name – имя подключения;
host – хост;
user_name/login – имя пользователя/логин;
ssl – сертификат;
new_source – новый источник;
new_host – новый хост;
new_name – новое имя подключения;
new_port – новый порт;
new_user_name/new_login – новое имя пользователя/новый логин;
new_ssl – новый серртификат;
script_id – идентификатор скрипта
updatesource
name
host
port
user_name
ssl
old_source
new_source
old_host
new_host
old_name
new_name
old_port
new_port
old_user_name
new_user_name
old_login
new_login
old_ssl
new_ssl
script_id
login host
source – источник (тип подключения);
name – имя подключения;
host – хост;
port – порт;
user_name/login – имя пользователя/логин;
ssl – сертификат;
old_source – старый источник;
new_source – новый источник;
old_host – старый хост;
new_host – новый хост;
old_name – старое имя подключения;
new_name – новое имя подключения;
old_port – старый порт;
new_port – новый порт;
old_user_name/old_login – старое имя пользователя/старый логин;
new_user_name/new_login – новое имя пользователя/новый логин;
old_ssl – старый сертификат;
new_ssl – новый сертификат;
script_id – идентификатор скрипта
removeidid – идентификатор
connectingscript_id
login
host
script_id – идентификатор скрипта;
login – логин;
host – хост

События «попытки несанкционированного доступа к системе» не логируются, т.к. защита от несанкционированного доступа производится на уровне файловой системы.

Логирование «результатов контроля целостности АС контроля работоспособности СЗИ» не осуществляется. Также не осуществляется подсчет данных хеша в конфигурационном файле, так как данная функция не гарантирует их сохранность от изменений. Защита может осуществляться только на уровне файловой системы.

Формат записи:

37<1> <time> <hostname> infomaximum <pid> <MSGID> [meta sequenceId=""][system@729368 version.core="1.0.0" version.proceset="1.0.0"][source@729368 ...][event@729368 ...][target@729368 ...]

Пример записи в журнале аудита:

<37>1~2019-03-26T16:07:06+03:00~infomaximum61~infomaximum~9160~update~[metasequenceId="80"]~[system@729368 version.platform="1.0.0" version.proceset="1.0.0"]~[source@729368 sessionHash="3915d830623a26b61a044d1ad9c1bebb6e61705a969559e1c5f436d2210aabcc" id="1" type="employee" login="admin" remoteAddress="10.0.75.1"]~[event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com"]~[target@729368 module="platform" id="2"type="employee" login="vpetrov"]

Таблица 4

Таблица соответствие видов событий журнала

Информация о событие в терминах ДЗИЭлемент в строке в журнале аудитаПримечание
Уникальный номер строки о событии ИБ[meta sequenceId="80"]Значение meta sequenceId является уникальным номером строки о событии
Название АС-источника информации о событии[source@729368 … type="employee"…]Значение type в source является типом источника события.
Подробнее в Таблице 2
Версия источника информации о событии[system@729368 version.platform= "1.0.0" version.proceset="1.0.0"]Значение version.platform и version.proceset является информацией об источнике события. Подробнее в Таблице 3
Системное имя (логин) пользователя-инициатора события[source@729368 … id="1" type="employee" login="admin"…]Значение id="1", "login="admin" является информацией о пользователе-инициаторе, а именно: login – логин,
id – порядковый номер пользователя.
Подробнее в Таблице 2
IP-адрес хоста-источника события[source@729368… remoteAddress="10.0.75.1"]Значение remoteAddress является IP-адресом хоста-источника события
Системное имя (логин) пользователя получателя[target@729368 …id="1" type="employee" login="admin"]Значения в target id="1"type="employee" login="admin" являются информацией о пользователе-получателе,
где id – порядковый номер сотрудника,
login – логин сотрудника,
type – тип получателя
Системный идентификатор сообщения о событииupdateИдентификатором-сообщением о событии может быть значение. <MSGID> Подробнее в Таблице 2
Системное время источника события2019-03-26T16:07:06+03:00Время источника события фиксируется в строке под <time>.
Формат даты: yyyy-MM-ddTHH:mm:ssZ
Текст сообщения в максимально подробном виде, включая старые и новые значения измененных свойств;[event@729368 old_first_name="Денис" old_email=petr@gmail.com new_first_name="Владимир" new_email="email@gmail.com]Где old_first_name – старое значение имени,
old_email – старое значение электронного адреса,
new_first_name – новое значение имени,
new_email – новое значение электронной почты
Полное имя процесса(службы);
результат (успех/отказ)
Результат (успех/отказ) фиксируется не для всех событий в системе

Ротация журнала аудита

Все журналирование системы основано на компоненте Logback (<https://logback.qos.ch/>).

По умолчанию в системе применяется файл конфигурации: C:\ProgramData\Infomaximum\logback.xml. Также в системе возможны варианты с переопределением файла конфигурации, при этом используется механизм приоритезации загрузки файла конфигурации.

Подробно о формате файла конфигурации, а также о приоритетах загрузки файлов конфигурации можно посмотреть в документации:

https://logback.qos.ch/manual/configuration.html.

По умолчанию в системе включена ротация логов, для журнала безопасности применяются следующие правила: файл журнала аудита упаковывается в архив и переименовывается в соответствии с шаблоном ("security.%d{yyyy-MM-dd}.%i.log.gz") при следующих условиях:

  • наступили следующие сутки;
  • журнал лога превысил размер в 50 Мб.

По умолчанию файлы журнала безопасности хранятся 3 года. По истечении этого времени старые журналы безопасности удаляются. Параметры, которые отвечают за ротацию логов, настраиваются в файле logback.xml. Путь файла: C:\ProgramData\Infomaximum.

Горячее обновление конфигурации

В системе по умолчанию предусмотрен механизм «горячего» обновления конфигурации. За это отвечают параметры «scan» и «scanPeriod». Сканирование происходит каждые 30 секунд. Этот механизм позволяет временно изменять правила логирования, вплоть до полного его отключения (<configuration scan="true" scanPeriod="30 seconds">).

Журналы аудита на уровне ОС

Журналы аудита на уровне ОС:

  • Application (C:\Windows\System32\winevt\Logs\Application.evtx);
  • Security (C:\Windows\System32\winevt\Logs\Security.evtx);
  • System (C:\Windows\System32\winevt\Logs\System.evtx).

Доступ к журналам ограничен учетными записями:

  • Administrators (локальная группа);
  • Event Log Readers (локальная группа);
  • SYSTEM;
  • EventLog.

Доступ к журналу аудита осуществляется через системную утилиту Event Viewer.

Предыдущая
Реализованные защитные меры ИБ в системе
Следующая
Docker-контейнеры
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнесаПродуктРешенияКейсыТехнологии
© 2010–2023. ООО «Инфомаксимум»Политика обработки персональных данных
Мы используем файлы cookies, чтобы сайт был лучше для вас.