Просмотр логов аудита
Результаты аудита хранятся в лог-файле, который расположен по следующему пути: <container mount volume>/log/audit.log (например, /opt/adcm/log/audit.log).
Файл audit.log непрерывно формируется каждый день до полуночи. В полночь к названию лог-файла добавляется постфикс с датой. В этот же момент создаётся новый файл audit.log, в который начинается запись логов за наступивший день.
Внутри лог-файла данные хранятся в формате CEF. Формат CEF включает следующие поля: Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
. Поля подробно описаны в таблице ниже.
Название поля | Описание |
---|---|
Version |
Версия формата CEF |
Device Vendor, Device Product, Device Version |
Поля, которые являются уникальными идентификаторами источников событий. У двух продуктов не может быть одинакового набора этих трёх полей |
Signature ID |
Уникальный идентификатор типа события |
Name |
Описание события, доступное для чтения |
Severity |
Степень критичности события (от |
Extension |
Набор пар ключ/значение. Каждый продукт задаёт словарь ключей |
Поле Extension
, по сути, является набором дополнительных полей (пар ключ/значение), которые разработаны специально для ADCM. Вы можете найти описание дополнительных полей в таблице ниже.
Ключ | Описание |
---|---|
actor |
Пользователь, который запускает действие (операцию или авторизацию) |
act |
Тип операции ADCM. Может принимать следующие значения: |
operation |
Название операции ADCM. В случае авторизации названием операции всегда будет |
resource |
Название объекта ADCM, над которым осуществляется операция. Этот ключ не используется при записи данных аутентификации и выполнении фоновых задач (background jobs). Этот ключ может быть пустым, если |
result |
Результат операции. Может принимать следующие значения: |
timestamp |
Дата и время операции в ADCM |
address |
Последний IP-адрес в |
Пример
Вы можете просматривать лог-файл, используя команду tail
:
$ tail -100f /opt/adcm/log/audit.log
Результат:
CEF: 0|Arenadata Software|Arenadata Cluster Manager|2022.10.04.17|api/v1/provider/<int:provider_id>/host/|Host created|1|actor="admin" act="create" operation="Host created" resource="my-host-1" result="success" timestamp="2022-10-14 13:32:03.389458+00:00"