Навигатор по разделу:

Навигатор по разделу:

2. Настройка срока хранения событий в журнале

1. Общая информация

Раздел "Журнал безопасности" веб-интерфейса Avanpost DS предназначен для просмотра событий безопасности.

Внимание!

Доступ к разделу "Журнал безопасности" имеют пользователи, состоящие в группе "Audit Administrators", "Security Administrators" и "Administrators".

В журнале отображаются события следующих типов:

аутентификации пользователей при доступе к системе Avanpost DS;
аутентификация пользователей при доступе к рабочим станциям;
создание, изменение и удаление объектов каталога (пользователей, групп, рабочих станций);
блокировка и разблокировка пользователей;
смена пароля пользователя;
добавление объектов в группы и исключение объектов из групп;
создание, изменение и удаление настроек и параметров системы Avanpost DS.

Внимание!

Если события журнала безопасности не отображаются, требуется настроить ведение журнала на контроллере домена (КД).

Для этого необходимо подключиться к КД и в конфигурационном файле "/opt/avanpost/ads/config/config.yaml" указать в параметре "db" путь до БД журнала. По умолчанию "db: /opt/avanpost/ads/ds-log".

Рисунок. Раздел "Журнал безопасности"

Для каждого события в журнале фиксируется:

Дата
Результат ("ok" или "fail")
Идентификационные характеристики объекта, связанного с событием
- "object_dn" и/или "subject_dn"
- "object_uid" и/или "subject_uid"
- IP адрес

Рисунок. Записи журнала безопасности

2. Настройка срока хранения событий в журнале

Срок хранения событий журнала безопасности настраивается в параметре "record_lifetime" конфигурационного файла Avanpost DS.

Конфигурационный файл Avanpost DS располагается на каждом контроллере домена в директории "/opt/avanpost/ads/config/config.yaml".

/opt/avanpost/ads/config/config.yaml

syslog: #Настройки сервера Syslog
  record_lifetime: 2160 # Время жизни записи в часах
  job_time: "02:00:00" # Время запуска задачи
  job_enable: true # Флаг активности задачи

3. Фильтрация событий в журнале

Фильтрация журнала безопасности доступна по следующим параметрам:

По дате события;
По типу события;
По значению атрибута объекта, в отношении которого зарегистрировано событие.

Для доступа к фильтру необходимо нажать в правом верхнем углу раздела "Журнал безопасности".

Рисунок. Фильтры журнала событий безопасности

Пример состава события

cn: Administrator
ip: 192.168.1.1
object_dn: cn=Administrator,ou=users,dc=avanpost,dc=local
object_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
result: ok

4. Типы событий и их коды в журнале

Тип события	Код	Описание события	Пример сообщения	Состав события
HTTP_LOGIN	101	HTTP вход	Login "Administrator"	cn - Идентификатор пользователя, который пытался войти в веб-интерфейс Avanpost DS ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, под которым проводилась операция object_uid - Unique Identifier пользователя, от имени которого проводилась операция result - Результат операции Пример состава события cn: Administrator ip: 192.168.1.1 object_dn: cn=Administrator,ou=users,dc=avanpost,dc=local object_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a result: ok
PASSWORD_CHANGING	201	Смена пароля пользователя	changing the password for the "cn=lipov,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, над которым проводилась операция object_uid - Unique Identifier пользователя, над которым проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
USER_BLOCKED	202	Пользователь заблокирован	user blocked "cn=lipov,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, над которым проводилась операция object_uid - Unique Identifier пользователя, над которым проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
USER_UNBLOCKED	203	Пользователь разблокирован	user unblocked "cn=lipov,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, над которым проводилась операция object_uid - Unique Identifier пользователя, над которым проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
CLEAR_JOURNAL	301	Очистка журнала безопасности	clear log by user	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, под которым проводилась операция object_uid - Unique Identifier пользователя, от имени которого проводилась операция result - Результат операции Пример состава события ip: 192.168.1.1 object_dn: cn=Administrator,ou=users,dc=avanpost,dc=local object_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a result: ok
BIND	401	LDAP bind	successful BIND "cn=Administrator,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 127.0.0.1 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
TICKET_ISSUE	402	LDAP получение билета	principal "host/cl01.avanpost.local" issued a ST ticket on TGS exchange	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name рабочей станции, на которой проводилась операция object_uid - Unique Identifier рабочей станции, на которой проводилась операция recipient - Получатель recipient_realm - REALM получателя result - Результат операции sender_realm - REALM отправителя Пример состава события ip: 192.168.1.13 object_dn: cn=cl01,ou=hosts,dc=avanpost,dc=local object_uid: 0198a506-2eed-7081-a41c-4921cf910984 recipient: ldap/ds01.avanpost.local recipient_realm: AVANPOST.LOCAL result: ok sender_realm: AVANPOST.LOCAL
PREAUTH_FAIL	403	LDAP требуется пре-аутентификация	preauth failed for principal "host/cl01.avanpost.local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name рабочей станции, на которой проводилась операция object_uid - Unique Identifier рабочей станции, на которой проводилась операция recipient - Получатель recipient_realm - REALM получателя sender_realm - REALM отправителя Пример состава события ip: 192.168.1.13 object_dn: unknown object_uid: unknown recipient: krbtgt/AVANPOST.LOCAL recipient_realm: AVANPOST.LOCAL sender_realm: AVANPOST.LOCAL
PERMISSION_CHANGE	501	Смена разрешений	Change permissions "cn=lipov,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name пользователя, над которым проводилась операция object_uid - Unique Identifier пользователя, над которым проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
ADDITION_TO_GROUP	601	Добавление в группу	User "cn=lipov,ou=users,dc=avanpost,dc=local" added to group "cn=Technical Admins,ou=groups,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция member - Учетная запись или группа, которая была добавлена в группу object_dn - Distinguished Name группы, над которой проводилась операция object_uid - Unique Identifier группы, над которой проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 member: cn=lipov,ou=users,dc=avanpost,dc=local object_dn: cn=Administrator,ou=users,dc=avanpost,dc=local object_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a result: ok subject_dn: cn=Technical Admins,ou=groups,dc=avanpost,dc=local subject_uid: d3f5501c-f443-44c1-90ea-1d8889f3618f
EXCLUSION_FROM_GROUP	602	Удаление из группы	User "cn=lipov,ou=users,dc=avanpost,dc=local" excluded from group "cn=Technical Admins,ou=groups,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция member - Учетная запись или группа, которая была удалена из группы object_dn - Distinguished Name группы, над которой проводилась операция object_uid - Unique Identifier группы, над которой проводилась операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 member: cn=lipov,ou=users,dc=avanpost,dc=local object_dn: cn=Administrator,ou=users,dc=avanpost,dc=local object_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a result: ok subject_dn: cn=Technical Admins,ou=groups,dc=avanpost,dc=local subject_uid: d3f5501c-f443-44c1-90ea-1d8889f3618f
ADD_ENTRY	701	Добавление записи	adding a record "cn=lipov,ou=users,dc=avanpost,dc=local"	attributes - Атрибуты созданного объекта ip - Адрес, с которого была проведена операция object_dn - Distinguished Name созданного объекта object_uid - Unique Identifier созданного объекта result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события attributes: givenname=Alexey; gidnumber=10006; photo=; surname=lipov; objectsid=S-1-5-21-955108789-901253215-1002010463-10012; samaccounttype=805306368; objectcategory=person; homedirectory=/home/lipov; samaccountname=; mail=lipov@avanpost.local; gecos=lipov; krbprincipalname=lipov@AVANPOST.LOCAL; uidnumber=10012; loginshell=/bin/bash; displayname=lipov Alexey; owneruid=308b2861-0d4d-47cd-916c-0e50d447d11a; mobile=+79998887766 ip: 192.168.1.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
MODIFY_ENTRY	702	Изменение записи	entry modified "cn=Technical Admins,ou=groups,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name измененного объекта object_uid - Unique Identifier измененного объекта result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция replace - Измененные атрибуты объекта Пример состава события ip: 192.168.1.1 object_dn: cn=Technical Admins,ou=groups,dc=avanpost,dc=local object_uid: d3f5501c-f443-44c1-90ea-1d8889f3618f result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a replace: description=Группа технических админов из филиала СПБ➔Группа технических админов из филиала МСК
DELETE_ENTRY	703	Удаление записи	deleting an entry "cn=Technical Admins,ou=groups,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name удаленного объекта object_uid - Unique Identifier удаленного объекта result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 object_dn: cn=Technical Admins,ou=groups,dc=avanpost,dc=local object_uid: d3f5501c-f443-44c1-90ea-1d8889f3618f result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
MODIFY_ENTRY_DN	704	Переименование записи	modifying entry dn "cn=lipov,ou=users,dc=avanpost,dc=local" "cn=lipov1,ou=users,dc=avanpost,dc=local"	ip - Адрес, с которого была проведена операция object_dn - Distinguished Name переименованного объекта object_uid - Unique Identifier переименованного объекта result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 127.0.0.1 object_dn: cn=lipov,ou=users,dc=avanpost,dc=local object_uid: 9f1fd4bb-b2ff-43f1-b1be-04208955b650 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
ADD_SITE	801	Добавление сайта	adding a site "site1", description "test site"	ip - Адрес, с которого была проведена операция result - Результат операции site - Название созданного сайта subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 result: ok site: site1 subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
MODIFY_SITE	802	Изменение сайта	Site changing "site1", display name "site1"	ip - Адрес, с которого была проведена операция result - Результат операции site - Название измененного сайта subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 result: ok site: site1 subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
DELETE_SITE	803	Удаление сайта	deleting a site "site1"	ip - Адрес, с которого была проведена операция result - Результат операции site - Название удаленного сайта subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 result: ok site: site1 subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
ADD_SUBNET	901	Добавление подсети	adding a subnet "192.168.2.0/24"	ip - Адрес, с которого была проведена операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция subnet - Адрес добавленной подсети Пример состава события ip: 192.168.1.1 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a subnet: 192.168.2.0/24
MODIFY_SUBNET	902	Изменение подсети	subnet changing "192.168.2.0/24" for site "default"	ip - Адрес, с которого была проведена операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция subnet - Адрес измененной подсети Пример состава события ip: 192.168.1.1 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a subnet: 192.168.2.0/24
DELETE_SUBNET	903	Удаление подсети	deleting a subnet "192.168.2.0/24"	ip - Адрес, с которого была проведена операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция subnet - Адрес удаленной подсети Пример состава события ip: 192.168.1.1 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a subnet: 192.168.2.0/24
ADD_LINK	1001	Добавление связи репликации	adding a link "repl site2", sites "default", "site2"	ip - Адрес, с которого была проведена операция link - Название добавленной межсайтовой репликации result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 link: repl site2 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
MODIFY_LINK	1002	Изменение связи репликации	changing a link "repl site2", sites "default", "site2"	ip - Адрес, с которого была проведена операция link - Название измененной межсайтовой репликации result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 link: repl site2 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
DELETE_LINK	1003	Удаление связи репликации	deleteing a link, sites "default", "site2"	ip - Адрес, с которого была проведена операция link - Название удаленной межсайтовой репликации result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 link: repl site2 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
ADD_HOST	1101	Добавление контроллера домена в репликацию	adding a host "192.168.1.20"	address - IP-адрес добавленного контроллера домена ip - Адрес, с которого была проведена операция result - Результат операции subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события address: 192.168.1.20 ip: 192.168.1.1 result: ok subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
DELETE_HOST	1103	Удаление контроллера домена из репликации	Host deleting "ds02.avanpost.local"	ip - Адрес, с которого была проведена операция result - Результат операции site - Доменное имя удаленного из репликации контроллера домена subject_dn - Distinguished Name пользователя, под которым проводилась операция subject_uid - Unique Identifier пользователя, от имени которого проводилась операция Пример состава события ip: 192.168.1.1 result: ok site: ds02.avanpost.local subject_dn: cn=Administrator,ou=users,dc=avanpost,dc=local subject_uid: 308b2861-0d4d-47cd-916c-0e50d447d11a
ADD_CONFIG_PARAM	1201	Добавление параметра конфигурации	configuration parameter "web.session_lifetime"	param - Параметр, который был добавлен в конфигурационный файл Avanpost DS value - Значение, которое было присвоено добавленному параметру В примере ниже добавляется параметр "web.session_lifetime = 10" Пример состава события param: web.session_lifetime value: 10
MODIFY_CONFIG_PARAM	1202	Изменение параметра конфигурации	configuration parameter changed "web.session_lifetime"	param - Параметр, который был изменен в конфигурационном файле Avanpost DS prev_value - Старое значение параметра value - Новое значение параметра В примере ниже изменяется параметр "web.session_lifetime = 30" Пример состава события param: web.session_lifetime prev_value: 10 value: 30
DELETE_CONFIG_PARAM	1203	Удаление параметра конфигурации	configuration parameter deleting "web.session_lifetime"	param - Параметр, который был удален из конфигурационного файла Avanpost DS value - Значение, которое было у параметра Пример состава события param: web.session_lifetime value: 30

6.11. Журнал безопасности

Навигатор по разделу:

1. Общая информация

2. Настройка срока хранения событий в журнале

3. Фильтрация событий в журнале

4. Типы событий и их коды в журнале

Обсуждение