Журнал аудита | Tdg
Войти Регистрация
Download

Версия:

2.x
Руководство администратора Журнал аудита

Журнал аудита

Журнал аудита содержит записи о событиях безопасности в TDG.

Чтобы посмотреть журнал, нужно:

  1. Сконфигурировать хотя бы один экземпляр с ролью storage.

  2. Включить шардирование кнопкой Bootstrap vshard на вкладке Cluster.

  3. Перейти на вкладку Audit log.

Примечание

Начиная с версии 2.6.1, журнал аудита работает на основе встроенного Tarantool-модуля audit и настраивается отдельно от журнала событий. Подробности о модуле audit приведена в документации платформы Tarantool.

В версиях до 2.6.1 журнал аудита использует встроенный Tarantool-модуль log, события безопасности при этом отображаются вместе с логами журнала событий.

Включение и выключение журнала аудита

По умолчанию журнал аудита включен и ведется независимо от настроек авторизации.

Отключить ведение журнала аудита можно одним из способов ниже:

  • на вкладке Audit log нажать кнопку Disable logging;

  • на вкладке Settings > Audit logs отключить опцию Audit logging enabled. Доступно с версии 2.18.0;

  • на вкладке Graphql выполнить следующий запрос:

    mutation {
  audit_log {
    config {
      enabled(value: false)
    }
  }
}

Примечание

При использовании версии ниже 2.18.0 для выполнения мутации используйте формат ниже:

mutation {
  audit_log {
    enabled(value: false)
  }
}

Чтобы проверить, включен ли журнал аудита, выполните следующий GraphQL-запрос:

query {
  audit_log {
    config {
      enabled
    }
  }
}

Примечание

При использовании версии ниже 2.18.0 для проверки включенного журнала аудита используйте запрос ниже:

query {
  audit_log {
    enabled
  }
}

Очистка журнала аудита

Журнал аудита хранится в memtx. Если явно задать время жизни для событий безопасности (опция remove_older_than_n_hours), события с истекшим сроком жизни в журнале будут очищаться автоматически. По умолчанию срок хранения событий в журнале аудита не ограничен.

Полностью очистить спейс с журналом аудита можно следующей командой GraphQL:

mutation {
        audit_log {
          clear
        }
      }

Структура

Каждая запись в таблице предоставляет следующую информацию о событии:

  • Severity (Важность)

  • From - To (С - По)

  • Subject ID (ID субъекта)

  • Subject (Субъект)

  • Request ID (ID запроса)

  • Module (Модуль)

  • Node (Узел)

  • Message (Сообщение)

По каждому из параметров журнал аудита можно фильтровать. Подробности о параметрах можно прочитать ниже.

Severity

Возможные значения (в порядке возрастания важности):

  • VERBOSE – детальная информация;

  • INFO – уведомление;

  • WARNING – предупреждение;

  • ALARM – тревога.

При фильтрации по параметру Severity будут отображаться события, уровень важности которых совпадает с выбранным или выше него. Чтобы показать все сообщения, выберите фильтр по параметру VERBOSE.

From - To

Дата и время события. По умолчанию время события отображается в часовом поясе GMT+0 (или UTC). Начиная с версии 2.15.0, в таблице при наведении курсора на время события отображается всплывающая подсказка с исходным временем, которое передал сервер.

Всплывающая подсказка с исходным временем, переданным сервером

Начиная с версии 2.17.0, задать часовой пояс можно в настройках на вкладке *Settings > Time Zone.

Subject ID

Внутренний идентификатор субъекта доступа.

Subject

Тип и наименование субъекта доступа. Возможные значения:

  • system %q: системное сообщение, где %q – имя сущности в системе.

  • token %q: доступ к HTTP API при помощи токена приложения (например, чтобы получить данные GraphQL), где %q – имя сущности, запросившей доступ.

  • user: попытка доступа из GUI.

  • anonymous: попытка доступа из GUI при отключённой обязательной «авторизации.

  • unauthorized: попытка неавторизованного доступа из GUI.

Request ID

Внутренний идентификатор запроса.

Module

Имя модуля системы, инициировавшего событие. Пример: модуль common.admin.auth отвечает за авторизацию.

Node

Доступно с версии 2.18.0.

Идентификатор экземпляра TDG, на котором произошло событие журнала аудита.

Message

Описание события. Может быть пользовательским сообщением.

Примеры

Успешная авторизация пользователя

Сообщение журнала аудита об успешной авторизации пользователя

Обновление модели

Сообщение журнала аудита об обновлении модели

Очистка журнала аудита

Сообщение после очистки журнала аудита

Конфигурация журнала аудита

В файле конфигурации

В файле config.yml находятся настройки по умолчанию, с которыми запускается Tarantool Data Grid. В этом файле конфигурации можно указать и настройки журнала аудита.

audit_log:
  remove_older_than_n_hours: 24 # время жизни сообщения в часах
  severity: VERBOSE # минимальный уровень важности записываемых событий
  enabled: true

Список поддерживаемых опций конфигурации для журнала аудита приведен в справочнике по конфигурации.

В веб-интерфейсе

В веб-интерфейсе задать настройки журнала аудита можно на вкладке Settings > Audit logs. С версии 2.18.0 доступны следующие настройки:

  • флаг Audit logging enabled – включить или отключить ведение журнала аудита;

  • Logging level – минимальный уровень важности записываемых событий;

  • Remove entries older than (hours) – время жизни сообщения в часах.

Кнопка Clear audit log очищает журнал аудита.

Вкладка Settings > Audit logs
Нашли ответ на свой вопрос?
Обратная связь
Чек-лист безопасности
Задачи
Single-page version