Журнал аудита
Обзор
Журнал аудита записывает события, связанные с безопасностью, в платформе. Используйте его для отслеживания действий пользователей, мониторинга подозрительной активности и соответствия требованиям комплаенса.
Навигация
Меню: Система > Журнал аудита
Макет страницы
Карточки статистики
Верхняя часть страницы отображает две карточки статистики:
| Карточка | Описание |
|---|---|
| События сегодня | Количество событий, записанных сегодня |
| Всего событий (30 дней) | Агрегированные события за последние 30 дней |
Карточка управления
Отдельная карточка содержит элементы управления фильтрацией и действиями:
| Элемент управления | Описание |
|---|---|
| Фильтр по типу события | Выпадающий список для фильтрации логов по конкретному типу события |
| Обновить | Перезагрузить список журнала аудита |
| Очистить старые логи | Удалить события старше периода хранения (красная кнопка) |
Таблица журнала аудита
| Колонка | Описание |
|---|---|
| Время | Время события в локальном формате |
| Событие | Тип события с цветным тегом |
| Метод | HTTP-метод (GET, POST, PUT, DELETE) |
| Путь | Путь API-эндпоинта |
| IP-адрес | Исходный IP запроса |
| Ресурс | Тип и ID ресурса (сокращенный) |
Пагинация
- Размер страницы по умолчанию: 50 записей
- Доступные размеры: 20, 50, 100, 200, 500 записей на странице
- Показывает общее количество (например, “Всего 1,234 события”)
Типы событий
События пользователей
| Тип события | Цвет | Описание |
|---|---|---|
| user.login | Зеленый | Пользователь вошел в систему |
| user.logout | Серый | Пользователь вышел из системы |
| user.register | Голубой | Зарегистрирован новый пользователь |
События хостов
| Тип события | Цвет | Описание |
|---|---|---|
| host.created | Синий | Добавлен новый хост |
| host.updated | Синий | Информация хоста изменена |
| host.deleted | Красный | Хост удален |
События учетных данных
| Тип события | Цвет | Описание |
|---|---|---|
| credential.created | Фиолетовый | Добавлены новые SSH-учетные данные |
| credential.deleted | Красный | Удалены SSH-учетные данные |
События сканирования
| Тип события | Цвет | Описание |
|---|---|---|
| scan.started | Processing (анимированный) | Инициировано сканирование соответствия |
| scan.completed | Зеленый | Сканирование соответствия завершено |
События усиления
| Тип события | Цвет | Описание |
|---|---|---|
| hardening.started | Оранжевый | Запущено задание усиления |
| hardening.completed | Зеленый | Задание усиления завершено |
| hardening.failed | Красный | Задание усиления не удалось |
События расписаний
| Тип события | Цвет | Описание |
|---|---|---|
| schedule.created | Geek Blue | Создано новое расписание |
| schedule.updated | Geek Blue | Расписание изменено |
| schedule.deleted | Красный | Расписание удалено |
События настроек
| Тип события | Цвет | Описание |
|---|---|---|
| setting.updated | Золотой | Изменена системная настройка |
Детали события
Каждое событие включает базовую информацию в колонках таблицы. Нажмите на строку для раскрытия и просмотра дополнительных деталей.
Раскрываемые детали строки
| Поле | Описание |
|---|---|
| User Agent | Информация о браузере/клиенте |
| User ID | Какой пользователь выполнил действие (UUID или “-” если анонимно) |
| Детали | Дополнительный контекст в формате JSON (прокручиваемый, макс. высота 200px) |
JSON деталей может содержать:
- Старые и новые значения для событий обновления
- Дополнительные параметры
- Информацию об ошибках для неудачных событий
Фильтрация событий
По типу события
- Нажмите выпадающий список Фильтр по типу события
- Выберите тип события (например, “user.login”)
- Таблица автоматически обновляется, показывая только соответствующие события
- Нажмите X в выпадающем списке для сброса фильтра
Навигация
Используйте пагинацию для навигации по событиям:
- События отсортированы по времени (сначала новые)
- Измените размер страницы с помощью выпадающего списка внизу
- Нажмите на номера страниц для навигации
Хранение событий
Период хранения
- По умолчанию: 90 дней
- Настраивается в Настройках
- Старые события автоматически подлежат очистке
Ручная очистка
Нажмите Очистить старые логи для:
- Удаления событий старше периода хранения
- Освобождения хранилища базы данных
- Сообщение об успехе показывает количество удаленных и дни хранения
Мониторинг безопасности
Индикаторы подозрительной активности
Мониторьте:
- Множественные неудачные входы с одного IP
- Необычное время входа (вне рабочих часов)
- Действия с неожиданных IP-адресов
- Массовые удаления (host.deleted, schedule.deleted)
- Изменения конфигурации (setting.updated)
- Регистрации новых пользователей (user.register)
Регулярный просмотр
- Просматривайте журналы аудита еженедельно для обычных операций
- Ежедневный просмотр для высокозащищенных сред
- Расследуйте необычные паттерны немедленно
- Документируйте инциденты безопасности
Сценарии использования для комплаенса
Отслеживание доступа
Отслеживайте, кто к чему получил доступ:
- История входов пользователей
- Изменения ресурсов
- Изменения конфигурации
- Время и источник доступа
Управление изменениями
Документируйте изменения:
- Когда были сделаны изменения (timestamp)
- Кто их сделал (user_id)
- Что было изменено (resource_type, resource_id)
- Значения до/после (в JSON деталей)
Расследование инцидентов
Расследуйте инциденты безопасности:
- Хронология событий (отсортировано по времени)
- Действия пользователей (фильтр по событиям пользователей)
- Затронутые ресурсы (колонка ресурса)
- Идентификация источника (IP-адрес)
Лучшие практики
Регулярный мониторинг
- Просматривайте логи ежедневно для критических систем
- Настройте интеграцию SIEM для оповещений в реальном времени
- Расследуйте аномалии оперативно
- Ведите записи расследований
Политика хранения
- Устанавливайте хранение на основе требований комплаенса
- Экспортируйте логи перед очисткой при необходимости для юридических целей
- Учитывайте требования PCI-DSS (1 год), HIPAA (6 лет), GDPR (варьируется)
- Балансируйте затраты на хранение с потребностями комплаенса
Контроль доступа
- Ограничьте доступ к журналам аудита
- Доступ к журналам аудита должен сам логироваться
- Защищайте целостность логов
- Рассмотрите доступ только для чтения для аудиторов
Доступ через API
Получайте журналы аудита программно:
GET /api/v1/audit?limit=50&offset=0&event_type=user.loginПараметры:
limit- Количество возвращаемых событийoffset- Смещение пагинацииevent_type- Фильтр по типу события (опционально)
Получение статистики:
GET /api/v1/audit/statsВозвращает агрегированные подсчеты событий по типу и дате.
Устранение неполадок
Отсутствующие события
- Убедитесь, что событие произошло после включения логирования
- Проверьте, что фильтр типа события не исключает событие
- Обновите страницу
- Проверьте, что событие в пределах периода хранения
Слишком много событий
- Используйте фильтр типа события для сужения
- Уменьшите размер страницы для более быстрой загрузки
- Экспортируйте данные для оффлайн-анализа
- Рассмотрите более короткий период хранения
Проблемы производительности
- Используйте меньшие размеры страницы (20-50 записей)
- Применяйте конкретные фильтры
- Экспортируйте данные и анализируйте оффлайн
- Запустите очистку для уменьшения размера базы данных
Очистка не работает
- Проверьте настройку периода хранения
- Убедитесь, что есть события для удаления
- Проверьте достаточность прав базы данных
- Проверьте ошибки базы данных в логах сервера
Связанные страницы
- Настройки - Настройка периода хранения
- Задания - Просмотр деталей заданий усиления
- Сканирование соответствия - Просмотр деталей сканирования