12.3 Спецификация сообщений в журнале событий безопасности Avanpost FAM Server

[ Таблица 1 – Управление пользователями (USRMGMT) ] [ Таблица 2 – Аутентификация пользователя (USRAUTH) ] [ Таблица 3 – Доступ пользователя (USRACS) ] [ Таблица 4 – События сервера (SERVCTL) ] [ Таблица 5 – Управление приложениями (APPMGMT) ] [ Таблица 6 – Управление группами (GRPMGMT) ] [ Таблица 7 – Управление ролями (ROLEMGMT) ] [ Таблица 8 – События OpenID Connect (OIDC) ]

Таблица 1 – Управление пользователями (USRMGMT)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	USRMGMT	Создание нового пользователя	`User account test was created`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Самостоятельная регистрация пользователя; Создание пользователя через административный интерфейс.
2	USRMGMT	Изменение прав доступа пользователя	`User account test group access was changed`	`fio_owner` – ФИО администратора, который выполнил действие; `group` – группа, в которую был добавлен/исключён пользователь; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `op` – операция (добавление в группу, исключение из группы) `session_id` – идентификатор сессии.	Добавление пользователя в группу; Удаление пользователя из группы.
3	USRMGMT	Блокировка учётной записи пользователя	`User account test was locked`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Блокировка УЗ администратором; Блокировка при 3 и более раз неверно введённом пароле.
4	USRMGMT	Разблокировка учётной записи пользователя	`User account test was unlocked`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Разблокировка УЗ администратором; Активация УЗ пользователем
5	USRMGMT	Смена пароля пользователя	`User account test password was changed`	`ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `session_id` – идентификатор сессии.	Смена пароля УЗ для пользователя другим пользователем; Смена пароля УЗ пользователя текущим пользователем.
6	USRMGMT	Удаление пользователя	`User account test was removed`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Удаление УЗ администратором Удаление УЗ сторонней прикладной системой, интегрированной с Системой
7	USRMGMT	Назначение роли	`Role testrole was assigned to user test`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `role` – наименование роли, для которой выполнена операция; `session_id` – идентификатор сессии.	Назначение роли пользователю
8	USRMGMT	Отзыв роли	`Role testrole was revoked from user test`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login` – логин учётной записи, из которой осуществляется выход; `login_owner` – логин администратора, который выполнил действие; `role` – наименование роли, для которой выполнена операция.	Отзыв роли у пользователя

Таблица 2 – Аутентификация пользователя (USRAUTH)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	USRAUTH	Выход пользователя	`User test logout successful`	app – приложение, в которое осуществляется аутентификация; chain – цепочка аутентификации; interface – интерфейс системы, через который произошёл запрос; ip – IP-адрес пользователя или источника действия; login – логин учётной записи, из которой осуществляется выход; result – результат выхода (успешно/не успешно); session_id – идентификатор сессии.	выход из административного интерфейса путём нажатия кнопки «Выйти» в веб-интерфейсе; выход из любого веб-приложения, подключённого к WebSSO.
2	USRAUTH	Аутентификация пользователя по внешнему IDP	`User test passed external idp authentication`	app – приложение, в которое осуществляется аутентификация; chain – цепочка аутентификации; interface – интерфейс системы, через который произошёл запрос; ip – IP-адрес пользователя или источника действия; login – логин учётной записи, предоставленный при аутентификации; result – результат аутентификации (успешно/не успешно); session_id – идентификатор сессии.	Прохождение аутентификации через внешний Identity Provider (OpenID Connect, SAML, ЕСИА) в режиме федеративной аутентификации при аутентификации пользователя в какое-либо приложения.
3	USRAUTH	Аутентификация пользователя с использованием фактора	`User test passed verifications and successfully authenticated`	ip – IP-адрес пользователя или источника действия; app – приложение, в которое осуществляется аутентификация; login – логин учётной записи, предоставленный при аутентификации; given_factor – другие факторы аутентификации (признак предъявления); result – результат аутентификации (успешно/не успешно); chain – цепочка аутентификации; interface – интерфейс системы, через который произошёл запрос; session_id – идентификатор сессии.	Попытка аутентификации в административный интерфейс, в том числе с использованием многофакторной аутентификации; Попытка аутентификации в любое веб-приложение, подключённое к SSO, в том числе с использованием многофакторной аутентификации (все предъявленные факторы должны быть зафиксированы в журнале); Попытка аутентификации в агенте (аутентификация агента на сервере); Попытка аутентификации в приложение, для которого настроен шаблон; (событие перехвата окна агентом по шаблону является событием, которое также будет записано на сервере); Автоматический вход пользователя, если он активировал созданную учётную запись по ссылке на почту; Автоматический вход пользователя, если он восстановил учётную запись (сбросил пароль) по ссылке на почту.
4	USRAUTH	Аутентификация пользователя с использованием фактора	`User test passed pwd factor verification`

Таблица 3 – Доступ пользователя (USRACS)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	USRACS	Обращение к защищаемым объектам доступа (объект доступа в нашем случае - приложение)	`User access to application testapp success`	app – приложение, в которое осуществляется аутентификация; interface – интерфейс системы, через который произошёл запрос; ip – IP-адрес пользователя или источника действия; login – логин учётной записи, предоставленный при аутентификации; result – результат обращения (успешно/не успешно).	Обращение к приложению, для которого у пользователя есть/нет доступа - попытка обращения и т.д.

Таблица 4 – События сервера (SERVCTL)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	SERVCTL	Запуск/выполнение служб приложения	`Service IDP started`	`command` – команда, выполненная пользователем (полный текст команды, полученный CLI-интерфейсом Системы); `user_os` – имя пользователя ОС, от которого выполнена команда	Запуск службы Avanpost FAM Server; Выполнение любой административной CLI-команды idp: -migratedb, -init, -initproc и т.д.
2	SERVCTL	Остановка служб приложения	`Service IDP stopped`	`command` – команда, выполненная пользователем (полный текст команды, полученный CLI-интерфейсом Системы); `user_os` – имя пользователя ОС, от которого выполнена команда.	Остановка службы Avanpost FAM Server.

Таблица 5 – Управление приложениями (APPMGMT)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	APPMGMT	Настройки приложения	`testapp application settings were changed`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Изменение любых настроек приложения
2	APPMGMT	Процесс аутентификации приложения	`Authentication process of application testapp was changed`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Изменение сценария многофакторной аутентификации приложения
3	APPMGMT	Создание приложения	`Application testapp was created`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Создание приложения администратором системы
4	APPMGMT	Секрет приложения	`testapp application secret was changed`	`fio_owner` – ФИО администратора, который выполнил действие; `ip` – IP-адрес пользователя или источника действия; `login_owner` – логин администратора, который выполнил действие; `session_id` – идентификатор сессии.	Изменение секрета приложения

Таблица 6 – Управление группами (GRPMGMT)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	GRPMGMT	Удаление роли из группы	`Role admin was revoked from group adminconsole`	fio_owner – ФИО администратора, который выполнил действие; group – наименование группы, для которой было выполнено исключение роли; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; role – удалённая из группы роль; session_id – идентификатор сессии.	Удаление роли из группы.
2	GRPMGMT	Создание группы	`Group PortalAdmin was created`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Создание новой группы.
3	GRPMGMT	Добавление приложения в группу	`Application G-Cloud was added to group G-Cloud`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Добавление приложения в группу.
4	GRPMGMT	Удаление приложения из группы	`Application Azure AD Teams was removed from group lk-guests`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие.	Удаление приложения из группы.
5	GRPMGMT	Добавление роли в группу	`Role admin was assigned to group adminconsole`	fio_owner – ФИО администратора, который выполнил действие; group – наименование группы, для которой было выполнено добавление роли; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; role – роль, добавленная в группу; session_id – идентификатор сессии.	Добавление роли в группу.
6	GRPMGMT	Удаление группы	`Group new was deleted`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Удаление группы.

Таблица 7 – Управление ролями (ROLEMGMT)

№	MSGID в syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	ROLEMGMT	Создание новой роли	`Role test was created`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Создание новой роли.
2	ROLEMGMT	Изменение роли	`Role test was changed`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Изменение параметров роли
3	ROLEMGMT	Удаление роли	`Role test was deleted`	fio_owner – ФИО администратора, который выполнил действие; ip – IP-адрес пользователя или источника действия; login_owner – логин администратора, который выполнил действие; session_id – идентификатор сессии.	Удаление роли

Таблица 8 – События OpenID Connect (OIDC)

В будущих релизах ожидается перенос событий OpenID Connect из журнала событий безопасности в отдельный журнал интеграционных сообщений. По этой причине не рекомендуется применение OpenID Connect-сообщений в рамках интеграций с существующим syslog.

№	MSGID в Syslog	Событие	Сообщение	Поля сообщения	В каких случаях добавляется
1	OIDC	Вызов Token Endpoint	`Token endpoint has been called`	client_id – идентификатор клиента OpenID Connect/OAuth 2.0; code - параметры для PKCE; code_verifier - параметр для PKCE; grant_type – переданный grant_type; redirect_uri – переданный Redirect URI; result – результат (был ли возвращён результат).	При отправке запроса на Token Endpoint (/oauth2/token) в рамках интеграций посредством OpenID Connect
2	OIDC	Вызов Userinfo Endpoint	`UserInfo endpoint has been called`	result – результат (был ли возвращён ответ useinfo).	При отправке запроса на Userinfo Endpoint (/oauth2/userinfo) в рамках интеграций посредством OpenID Connect
3	OIDC	Вызов Authorization Endpoint	`Authorization endpoint has been called`	chain - идентификатор цепочки; client_id - идентификатор клиента OpenID Connect/OAuth 2.0; code_challenge - параметр для PKCE; значение не отображается и не фиксируется в журнале по требованиям безопасности; code_challenge_method - параметр для PKCE; значение не отображается и не фиксируется в журнале по требованиям безопасности; password – переданный пароль; значение пароля не отображается и не фиксируется в журнале по требованиям безопасности; redirect_uri – переданный Redirect URI; response_type – тип запроса; result - результат (ok или fail); scope – переданные в запросе scope; state – переданное значение state; username – имя пользователя.	При отправке запроса на Authorization Endpoint (/oauth2/authorize) в рамках интеграций посредством OpenID Connect
4	OIDC	Вызов End Session Endpoint	`Endsession endpoint has been called`	id_token_hint – переданное значение id_token_hint; result – результат выполнения операции; state – переданный параметр состояния.	При отправке запроса на End Session Endpoint (/oauth2/end_session) в рамках интеграций посредством OpenID Connect