Типы и шаблоны регистрируемых событий аудита

Список регистрируемых событий и шаблоны к ним приведены в таблице

Список типов и шаблонов регистрируемых событий аудита

Наименование событияСостав регистрируемой информацииШаблон регистрации события
События, связанные с командной строкой

Изменение системных параметров «Универсального диспетчера» через командную строку

cli.SystemConfigChanged

Регистрируется:

  • логин пользователя (username);
  • название секции (section_name);
  • название изменяемого параметра; (parameter_key);
  • новое значение параметра (parameter_value)
«Пользователь "[username]" изменил системный параметр [section_name].[parameter_key]=[parameter_value]»

CRU- операции с объектами через командную строку

cli.EntityAction

Регистрируется:

  • имя системного пользователя, запустившего команду (username);
  • тип сущности (entity);
  • уникальный идентификатор (uuid);
  • тип объекта (subtype);
  • название объекта (name);
  • действие над объектом (action)
«Пользователь "[username]" выполнил операцию [action] для объекта [entity] ([uuid]) [subtype] "[name]

Вход пользователя в систему через командную строку

cli.UserLogin

Регистрируется:

  • наименование домена аутентификации (authenticator);
  • логин пользователя (username);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username]([authenticator])" вошел в систему через [portal] ([portal_uuid]

Выход пользователя из системы через командную строку

cli.UserLogout

Регистрируется:

  • наименование домена аутентификации (authenticator);
  • логин пользователя (username);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username]([authenticator])" вышел из системы через [portal] ([portal_uuid]
События, связанные с политиками

Изменение глобальных политик

policies.GlobalPolicyChanged

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • новое значение в дружественном к пользователю описании (value);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • новое значение в оригинальном формате (value_raw)

«Пользователь "[username] ([authenticator_name])" изменил значение глобальной политики "[policy_name]" на "[value]

Изменение политик РМ

policies.DeployedServicePolicyChanged

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • название фонда РМ (deployed_service_name);
  • новое значение в дружественном к пользователю описании (value);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • идентификатор фонда РМ (deployed_service_uuid);
  • новое значение в оригинальном формате (value_raw)
«Пользователь "[username] ([authenticator_name])" изменил значение политики "[policy_name]" для фонда "[deployed_service_name]"на "[value]

Сброс политики РМ

policies.DeployedServicePolicyDeleted

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • название фонда РМ (deployed_service_name);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • идентификатор фонда РМ (deployed_service_uuid)
«Пользователь "[username] ([authenticator_name])" сбросил значение политики "[policy_name]" для фонда "[deployed_service_name]

Сброс глобальных политик

policies.GlobalPolicyDeleted

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • идентификатор домена аутентификации пользователя (authenticator_uuid)
«Пользователь "[username] ([authenticator_name])" сбросил значение глобальной политики "[policy_name]

События, связанные с пользователем

Подключение пользователя к РМ

workplace.UserConnected

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip);
  • протокол доставки (transport)

«К рабочему месту [vm_name]([vm_ip]) фонда [workplace] пользователя "[username]([authenticator])" произведено подключение с помощью протокола [transport]»

Отключение пользователя от РМ

workplace.UserDisconnected

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip);
  • протокол доставки (transport)
«Подключение к рабочему месту [vm_name]([vm_ip]) фонда [workplace] пользователя "[username]([authenticator])" по протоколу [transport] разорвано»

Вход пользователя в ОС РМ

workplace.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • Логин пользователя (username);
  • имя пользователя совершающего вход в гостевую ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" вошел в гостевую ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] c ip-адреса [ip]»

Выход пользователя из ОС ВМ

workplace.UserLogout

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя совершающего вход в гостевую ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" вышел из гостевой ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] c ip-адреса [ip]»

Блокировка РМ

workplace.UserLock

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя совершающего выход из гостевой ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" заблокировал гостевую ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username]»

Разблокировка РМ

workplace.UserUnlock

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя совершающего выход из гостевой ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" разблокировал гостевую ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username]»

Пользователь неактивен

workplace.UserIdle

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя совершающего выход из гостевой ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" неактивен в гостевой ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username]»

Пользователь активен

workplace.UserActive

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя совершающего выход из гостевой ОС ВМ (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" вновь активен в гостевой ОС ВМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username]»

Подключение пользователя к РМ и начало работы

user.WorkplaceConnectionRequest

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • название фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • название протокола доставки (transport)
«Пользователь "[username] ([authenticator])" подключился к ВМ [vm_name] фонда [workplace] по протоколу [transport] с ip-адреса [ip]»

Отправка сообщения в РМ

user.WorkplaceMessageSent

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • имя пользователя (username);
  • название фонда РМ (deployed_service_name);
  • идентификатор фонда РМ (deployed_service_uuid);
  • название РМ (user_service_name);
  • идентификатор РМ (user_service_uuid);
  • тип сообщения (msg_level);
  • текст сообщения (msg_text)
«Пользователь [username] ([authenticator]) отправил сообщение "[msg_text]" уровня [msg_level] на рабочее место [user_service_name] фонда [deployed_service_name]»

Назначение пользователя на РМ

workplace.UserAssigned

Регистрируется:

  • логин пользователя (username);
  • назначенный пользователь (assigned_to);
  • кем назначен пользователь (assigned_by);
  • время назначения (assignment_time)
«Пользователь "[username]" назначен на рабочее место "[assigned_to]"   пользователем "[assigned_by]"»

События, связанные с веб-интерфейсом

Вход пользователя в систему через веб-интерфейс

web.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вошел в систему с ip-адреса [ip]через [portal] ([portal_uuid]

Выход пользователя из веб-интерфейса

web.UserLogout

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вышел из системы (ip-адрес [ip]) через [portal] ([portal_uuid]

Изменение системных параметров «Универсального диспетчера»

web.SystemConfigChanged

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip)
«Пользователь "[username] ([authenticator])" изменил системные параметры (ip-адрес [ip]

CRUD операции с объектами через REST API

web.EntityAction

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип сущности (entity);
  • идентификатор (uuid);
  • тип объекта (subtype);
  • название объекта (name);
  • действие над объектом (action)
«Пользователь "[username] ([authenticator])" выполнил операцию [action] для объекта [entity] ([uuid]) [subtype] "[name]" (ip-адрес [ip]

Загрузка файла лицензии через REST API

web.LicenseUpdated

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя файла лицензии (license_file_name)
«Пользователь "[username] ([authenticator])" загрузил новый файл лицензии [license_file_name] с ip-адреса [ip]»

Прекращение сессии пользователя по команде с «Универсального диспетчера»

web.LogoffUserservice

Регистрируется:

  • логин пользователя (user);
  • данные гостевой ВМ, сессию которой прекратили (userservice)
«Пользователь "[user]" отправил запрос на прекращение сессии [userservice]»

Сброс сессии пользователя по команде с «Универсального диспетчера»

web.DisconnectUserservice

Регистрируется:

  • логин пользователя (user);
  • данные гостевой ВМ, сессию которой прекратили (userservice)
«Пользователь "[user]" отправил запрос на сброс сессии [userservice]»

Попытка повышения прав

web.AdminAssigned

Регистрируется:

  • логин пользователя (user);
  • пользователь, которому назначаются права (user1);
  • название домена аутентификации пользователя (authenticator)

:param username: Логин пользователя - args[0]
       :param assigned_to: Пользователь, которому назначаются права - args[1]
       :param auth_domain: Домен аутентификации - args[2]

«Пользователь "[user]" попытался установить тип учетной записи  "Администратор" для пользователя "[user1]" в домене аутентификации "[authenticator]

События, связанные с разными API

Вход пользователя в систему через API

api.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вошел в систему с ip-адреса [ip]через [portal] ([portal_uuid]

Выход пользователя из системы через API

api.UserLogout

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вышел из системы с ip-адреса [ip] через [portal] ([portal_uuid]