VMmanager 6 сохраняет информацию о работе служб в лог-файлы (журнальные файлы, журналы). Вы можете просматривать лог-файлы каждой из служб отдельно или группировать их.

Лог-файлы служб аудита содержат информацию о событиях безопасности платформы и изменениях в её конфигурации. Например:

  • попытках входа в систему с помощью email и пароля;
  • попытках сброса пароля;
  • попытках входа в систему через LDAP;
  • создании, удалении и редактировании пользователей платформы;
  • изменении прав доступа у пользователей платформы.

Запись каждого события содержит:

  • уникальный порядковый номер;

  • дату и время события;

  • тип события;

  • информацию об успешности действия.

Если действие совершает авторизованный пользователь, то в логе отображается идентификатор пользователя.

Логи событий аудита защищены от удаления и редактирования. Удаление или изменение логов через API и веб-интерфейс платформы не поддерживается.

Подготовка сервера платформы

Платформа хранит лог-файлы служб аудита в контейнерах auth и vm_box. Для объединения записей аудита в один поток вы можете настроить логирование в службе journald:

  1. Подключитесь к серверу с платформой по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.

  2. Создайте файл патча /opt/ispsystem/vm/journald.yaml с содержимым: 

    version: "3.5"
services:
  auth_back4:
    volumes: 
    - /var/run/systemd/journal/:/var/run/systemd/journal/
  vm_box:
    volumes:
    - /opt/ispsystem/vm/backup:/opt/ispsystem/vm/backup
    - /opt/ispsystem/license:/opt/ispsystem/license
    - /opt/ispsystem/vm/socket/:/opt/ispsystem/vm/vmbox/
    - /var/run/systemd/journal/:/var/run/systemd/journal/
    CODE

  3. Примените патч:

    vm add-patch -p journald -f /opt/ispsystem/vm/journald.yaml
    BASH
  4. Для чтения логов в формате JSON установите утилиту jq:
    apt install jq || dnf install jq
    BASH

Просмотр логов событий аудита

Чтобы просмотреть логи служб аудита, введите команду:

  • контейнер auth (сервисы auth_back4): 

    Построчный вывод

    journalctl -f ACOD=3
    BASH

    Вывод в формате JSON

    journalctl -f -o json ACOD=3 | jq
    BASH
  • контейнер vm_box (сервисы vm_back, gosockify): 

    Построчный вывод

    journalctl | grep vm_security
    BASH

    Вывод в формате JSON

    journalctl -f -o json | grep vm_security | jq
    BASH

Пример построчного вывода

Aug 15 18:54:02 vm6.example.com compat_auth[2548213]: Authenticate user using username and password started
Aug 15 18:54:02 vm6.example.com compat_auth[2548213]: Authenticate user using username and password with params: {"email":"ex@example.com","password":"*"}
Aug 15 18:54:02 vm6.example.com compat_auth[2548213]: Authenticate user using username and password completed successfully
CODE

Пример вывода в формате JSON

{
  "__CURSOR": "s=55a46089db814f7a8eb756313f401409;i=8c0df;b=5fd75abf7431452abd6a8baa161755ce;m=ec702229675;t=61fbb7466e2eb;x=48af8e5c04657ccf",
  "__REALTIME_TIMESTAMP": "1723739832509163",
  "__MONOTONIC_TIMESTAMP": "16247897101941",
  "_BOOT_ID": "5fd75abf7431452abd6a8baa161755ce",
  "PRODUCT": "",
  "PROCESS": "compat_auth",
  "_TRANSPORT": "journal",
  "_UID": "0",
  "_GID": "0",
  "_COMM": "compat_auth",
  "_EXE": "/opt/ispsystem/auth/bin/compat_auth",
  "_CAP_EFFECTIVE": "a80425fb",
  "_SYSTEMD_CGROUP": "/docker/839554eb13dc482ea66f8d56e65a4ff84c8168c34321e0490847b85e8569c438",
  "_SYSTEMD_SLICE": "-.slice",
  "_MACHINE_ID": "00000000000000000000000000000000",
  "_HOSTNAME": "vm6.example.ru",
  "PRIORITY": "6",
  "_CMDLINE": "/opt/ispsystem/auth/bin/compat_auth --mode writer --port /tmp/proxy.auth_v4/writer/global.sock --address 127.0.0.1",
  "ACOD": "3",
  "ACCOUNT_ID": "2",
  "MESSAGE": "Edit user 2 completed successfully",
  "_PID": "2502197",
  "REMOTE_IP": "10.10.1.1",
  "REQUEST_ID": "c9e11e8df8599c9d0c62153954d0e036",
  "AUDIT_ACTION_ID": "1723739832500",
  "_SOURCE_REALTIME_TIMESTAMP": "1723739832508589"
}
CODE

Передача логов в сторонние сервисы

С помощью службы syslog-ng можно настроить передачу логов в сторонний сервис для их хранения и просмотра. 

Архив syslog_logs.tar.gz содержит примеры конфигурационных файлов для передачи логов в журнал системных событий fly-event-viewer ОС Astra Linux:

  • конфигурационный файл /etc/syslog-ng/conf.d/vmmanager.conf;
  • описания событий безопасности VMmanager /usr/share/syslog-ng-mod-astra/event-settings/.

На основе этих примеров вы можете создать конфигурации для вашего сервиса. Подробнее см. в документации syslog-ng.

Пример настройки

Инструкция применима, если вы планируете просматривать логи в журнале fly-event-viewer на сервере с платформой. Для передачи логов на другой сервер потребуется изменить конфигурацию syslog-ng.

  1. Скачайте архив: 
    curl https://ru.download.ispsystem.com/extras/vmmanager/syslog_logs.tar.gz
    CODE
  2. Распакуйте архив: 
    sudo tar xzf syslog_logs.tar.gz -C /
    CODE
    Файлы архива скопируются в нужные директории.
  3. Перезапустите службу syslog-ng
    sudo systemctl restart syslog-ng
    BASH

Может быть полезно

Связанные статьи: