Типы и шаблоны регистрируемых событий аудита

Типы и шаблоны регистрируемых событий аудита

Список регистрируемых событий и шаблоны к ним приведены в таблице

Формат записи событий аудита приведен в подразделе Форматы регистрируемых событий аудита и их примеры. Текст регистрируемого события зависит от выбранного формата.

Список типов и шаблонов регистрируемых событий аудита

Наименование событияСостав регистрируемой информацииШаблон регистрации события
События, связанные с командной строкой

Изменение системных параметров «Универсального диспетчера» через командную строку

cli.SystemConfigChanged

Регистрируется:

  • логин пользователя (username);
  • название изменяемого параметра; (parameter_key);
  • новое значение параметра (parameter_value)
«Пользователь "[username]" изменил параметр системы [parameter_key]=[parameter_value]»

CRUD- операции с объектами через командную строку

cli.EntityAction

Регистрируется:

  • имя системного пользователя, запустившего команду (username);
  • тип сущности (entity);
  • уникальный идентификатор (uuid);
  • тип объекта (subtype);
  • название объекта (name);
  • действие над объектом (action)
«Пользователь "[username]" выполнил операцию [action] для объекта [entity] ([uuid]) [subtype] "[name]

Вход пользователя в систему через командную строку

cli.UserLogin

Регистрируется:

  • наименование домена аутентификации (authenticator);
  • логин пользователя (username);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username]([authenticator])" вошел в систему через [portal] ([portal_uuid]

Выход пользователя из системы через командную строку

cli.UserLogout

Регистрируется:

  • наименование домена аутентификации (authenticator);
  • логин пользователя (username);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username]([authenticator])" вышел из системы через [portal] ([portal_uuid]
События, связанные с политиками

Изменение глобальных политик

policies.GlobalPolicyChanged

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • новое значение в дружественном к пользователю описании (value);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • новое значение в оригинальном формате (value_raw)

«Пользователь "[username] ([authenticator_name])" изменил значение глобальной политики "[policy_name]" на "[value]

Изменение политик РМ

policies.DeployedServicePolicyChanged

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • название фонда РМ (deployed_service_name);
  • новое значение в дружественном к пользователю описании (value);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • идентификатор фонда РМ (deployed_service_uuid);
  • новое значение в оригинальном формате (value_raw)
«Пользователь "[username] ([authenticator_name])" изменил значение политики "[policy_name]" для фонда [deployed_service_name] "[value]"на "[value_raw]

Сброс политики РМ

policies.DeployedServicePolicyDeleted

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • название фонда РМ (deployed_service_name);
  • идентификатор домена аутентификации пользователя (authenticator_uuid);
  • идентификатор фонда РМ (deployed_service_uuid)
«Пользователь "[username] ([authenticator_name])" сбросил значение политики "[policy_name]" для фонда "[deployed_service_name]

Сброс глобальных политик

policies.GlobalPolicyDeleted

Регистрируется:

  • имя пользователя (username);
  • название домена аутентификации пользователя (authenticator_name);
  • название политики (policy_name);
  • идентификатор домена аутентификации пользователя (authenticator_uuid)
«Пользователь "[username] ([authenticator_name])" сбросил значение глобальной политики "[policy_name]

События, связанные с пользователем

Подключение пользователя к РМ

workplace.UserConnected

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip);
  • протокол доставки (transport)

«Подключение к рабочему месту [vm_name]([vm_ip]) пула служб [workplace] пользователя "[username]([authenticator])" было выполнено с использованием протокола [transport]»

Отключение пользователя от РМ

workplace.UserDisconnected

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip);
  • протокол доставки (transport)
«Подключение к рабочему месту [vm_name]([vm_ip]) пула служб [workplace] пользователя "[username]([authenticator])" через протокол [transport] разорвано»

Вход пользователя в ОС РМ

workplace.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" вошел в ОС РМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] c IP-адреса [ip]»

Выход пользователя из ОС ВМ

workplace.UserLogout

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" вышел из гостевой ОС РМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] c IP-адреса [ip]»

Блокировка РМ

workplace.UserLock

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" заблокировал гостевую ОС РМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] с IP-адреса [ip]»

Разблокировка РМ

workplace.UserUnlock

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" разблокировал гостевую ОС РМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] с IP-адреса [ip]»

Пользователь неактивен

workplace.UserIdle

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" не активен в гостевой ОС РМ [vm_name] ([vm_ip]) фонда [workplace] как пользователь [guest_os_username] с IP-адреса [ip]»

Пользователь активен

workplace.UserActive

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • имя пользователя гостевой ОС (guest_os_username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • IP-адрес выданной ВМ (vm_ip)
«Пользователь "[username] ([authenticator])" снова активен в гостевой ОС РМ [vm_name] ([vm_ip])  фонда [workplace] как пользователь [guest_os_username] с IP-адреса [ip]»

Подключение пользователя к РМ и начало работы

user.WorkplaceConnectionRequest

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • название фонда РМ (workplace);
  • имя выданной ВМ (vm_name);
  • название протокола доставки (transport)
«Пользователь "[username] ([authenticator])" подключился к  РМ[vm_name] фонда [workplace] по протоколу [transport] с IP- адреса [ip]»

Отправка сообщения в РМ

user.WorkplaceMessageSent

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • имя пользователя (username);
  • название фонда РМ (deployed_service_name);
  • название РМ (user_service_name);
  • уровень сообщения (msg_level);
  • текст сообщения (msg_text)
«Пользователь [username] ([authenticator]) отправил сообщение "[msg_text]" уровеня [msg_level] на РМ  [user_service_name] фонда [deployed_service_name]»

Назначение пользователя на РМ

workplace.UserAssigned

Регистрируется:

  • логин пользователя (username);
  • назначенный пользователь (assigned_to);
  • кем назначен пользователь (assigned_by)
«Пользователю "[username]" назначено рабочее место "[assigned_to]"  пользователем "[assigned_by]"»

Действие с учетными записями на сервере каталогов

tasks.AudiDeregistrationAction

Регистрируется:

  • имя учетной записи (comp_name);
  • действие (action_deregistration)

«Выполнено действие "[action_deregistration]" с учётной записью компьютера [comp_name] на сервере каталогов»

События, связанные с веб-интерфейсом

Неудачная попытка регистрации пользователя

web.UserLoginForbidden

Регистрируется:

  • API метод (handler_path);
  • ошибка (error);
  • IP-адрес, с которого был сделан запрос (ip)
«Выполнена неудачная попытка регистрации пользователя api - [handler_path] ошибка - [error] ip - [ip]»

Вход пользователя в систему через веб-интерфейс

web.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вошел в систему с ip-адреса [ip]через [portal] ([portal_uuid]

Выход пользователя из веб-интерфейса

web.UserLogout

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid)
«Пользователь "[username] ([authenticator])" вышел из системы (ip-адрес [ip]) через [portal] ([portal_uuid]

Изменение системных параметров «Универсального диспетчера»

web.SystemConfigChanged

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip)
«Пользователь "[username] ([authenticator])" изменил системные параметры (ip-адрес [ip]

CRUD операции с объектами через REST API

web.EntityAction

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип сущности (entity);
  • идентификатор (uuid);
  • тип объекта (subtype);
  • название объекта (name);
  • действие над объектом (action)
«Пользователь "[username] ([authenticator])" выполнил операцию [action] для объекта [entity] ([uuid]) [subtype] "[name]" (ip-адрес [ip]

Обновление лицензии

web.LicenseUpdated

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • имя файла лицензии (license_file_name)
«Пользователь "[username] ([authenticator])" загрузил новый файл лицензии [license_file_name] с ip-адреса [ip]»

Прекращение сессии пользователя по команде с сервера

web.LogoffUserservice

Регистрируется:

  • логин пользователя (user);
  • данные гостевой ВМ, сессию которой прекратили (userservice)
«Пользователь "[user]" подал запрос на прекращение сессии [userservice]»

Сброс сессии пользователя по команде с сервера

web.DisconnectUserservice

Регистрируется:

  • логин пользователя (user);
  • данные гостевой ВМ, сессию которой прекратили (userservice)
«Пользователь "[user]" подал запрос на сброс сессии [userservice]»

Попытка повышения прав

web.AdminAssigned

Регистрируется:

  • логин пользователя (assigned_to);
  • пользователь, которому назначаются права (user1);
  • название домена аутентификации пользователя (authenticator)
«Пользователь "[user]" попытался установить тип учетной записи  "Администратор" для пользователя "[assigned_to]" в домене аутентификации "[authenticator]

Пользователь обновил данные сущности

web.EntityActionUpdate

Регистрируется:

  • логин пользователя (user);
  • название домена аутентификации пользователя (authenticator);
  • обновленные данные (data);
  • объект (entity);
  • идентификатор объекта (uuid);
  • тип объекта (subtype);
  • имя объекта (name);
  • IP-адрес, с которого был сделан запрос (ip)

«Пользователь "[username] ([authenticator])" [data] для объекта [entity] ([uuid]) [subtype] "[name]" '(ip-адрес [ip]

Изменение правил балансировки

web.LoadRules

Регистрируется:

  • логин пользователя (user);
  • название домена аутентификации пользователя (authenticator);
  • правило (field);
  • объект (entity);
  • идентификатор объекта (uuid);
  • тип объекта (subtype);
  • имя объекта (name);
  • IP-адрес, с которого был сделан запрос (ip);
  • старое значение параметра (old_value);
  • новое значение параметра (new_value)

«Пользователь "[username] ([authenticator])" изменил правило [field] для объекта '[entity] ([uuid]) [subtype] "[name]" (ip-адрес [ip]). Старое значение: [old_value]. Новое значение: [new_value]»

Операция с публикациями фонда

web.AuditPublication

Регистрируется:

  • действие публикации (action_pub);
  • фонд (pool)

«[action_pub] публикация фонда [pool]»

Операция с состоянием ВМ

web.AuditMachineState

Регистрируется:

  • имя ВМ (name_vm);
  • новый статус ВМ (action_machine)

«Запрос на изменение статуса ВМ - [name_vm] статус - "[action_machine]

События, связанные с API

Действия пользователя с API (обращения Termidesk к API от имени пользователя)

api.ApiViewAction

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username). Для запросов, выполняемых без аутентификации, указывается пользователь AnonymousUser(AnonymousAuth);
  • IP-адрес, с которого был сделан запрос (ip);
  • запрос(action);
  • URL-команда (request_path);
  • код ответа (response_status)
«Пользователь "[username] ([authenticator])" выполнил запрос [action] для api [request_path] (статус код ответа - [response_status]) (ip-адрес [ip]

Неудачная попытка создать сессию API

api.ApiUserLoginForbidden

Регистрируется:

  • метод (handler_path);
  • ошибка (error);
  • IP-адрес, с которого был сделан запрос (ip)
«Выполнена неудачная попытка регистрации пользователя api - [handler_path] ошибка - [error] ip - [ip]»

Вход пользователя в систему через API

api.UserLogin

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid);
  • тип учетной записи пользователя (user_type)
«Пользователь "[username] ([authenticator])" с типом учетной записи [user_type] вошел в систему с IP-адресом [ip]через [portal] ([portal_uuid]

Выход пользователя из системы через API

api.UserLogout

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • IP-адрес, с которого был сделан запрос (ip);
  • тип портала (portal);
  • идентификатор портала (portal_uuid);
  • тип учетной записи пользователя (user_type)
«Пользователь "[username] ([authenticator])" с типом учетной записи [user_type] и IP-адресом [ip] вышел из системы через [portal] ([portal_uuid]

События, связанные с пользовательскими сессиями

Старт сессии пользователя

session.SessionStarted

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • GUSID (suid)
«Сессии пользователя "[username] ([authenticator])" назначен GUSID "[suid]

Окончание сессии пользователя

session.SessionEnded

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • GUSID (suid)
«Сессия пользователя "[username] ([authenticator])" c GUSID "[suid]" завершена по запросу»

Сессия пользователя завершена по сроку действия

session.SessionExpired

Регистрируется:

  • название домена аутентификации пользователя (authenticator);
  • логин пользователя (username);
  • GUSID (suid)
«Сессия пользователя "[username] ([authenticator])" c GUSID "[suid]" завершена по сроку действия»

События, связанные с поставщиком ресурсов

Изменение конфигурации на стороне поставщика ресурсов

provider.ChangeConfiguration

Регистрируется:

  • имя поставщика ресурсов ();
  • параметр (changed_field)

«Была изменена конфигурация "[provider]". Был удален [changed_field]»

Создание ВМ на стороне поставщика ресурсов

provider.SuccessCreateVM

Регистрируется:

  • имя ВМ (vm_name)
«Успешно создалась виртуальная машина [vm_name]»

Удаление ВМ на стороне поставщика ресурсов

provider.SuccessRemoveVM

Регистрируется:

  • имя ВМ (vm_name)
«Успешно удалена виртуальная машина [vm_name]»