Просмотр логов аудита

Михаил Серов
Содержание

Результаты аудита хранятся в лог-файле, который расположен по следующему пути: <container mount volume>/log/audit.log (например, /opt/adcm/log/audit.log).

Файл audit.log непрерывно формируется каждый день до полуночи. В полночь к названию лог-файла добавляется постфикс с датой. В этот же момент создаётся новый файл audit.log, в который начинается запись логов за наступивший день.

Внутри лог-файла данные хранятся в формате CEF. Формат CEF включает следующие поля: Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension. Поля подробно описаны в таблице ниже.

Поля в формате CEF
Название поля Описание

Version

Версия формата CEF

Device Vendor, Device Product, Device Version

Поля, которые являются уникальными идентификаторами источников событий. У двух продуктов не может быть одинакового набора этих трёх полей

Signature ID

Уникальный идентификатор типа события

Name

Описание события, доступное для чтения

Severity

Степень критичности события (от 0 до 10)

Extension

Набор пар ключ/значение. Каждый продукт задаёт словарь ключей

Поле Extension, по сути, является набором дополнительных полей (пар ключ/значение), которые разработаны специально для ADCM. Вы можете найти описание дополнительных полей в таблице ниже.

Описание полей Extension
Ключ Описание

actor

Пользователь, который запускает действие (операцию или авторизацию)

act

Тип операции ADCM. Может принимать следующие значения: create, update, delete. Этот ключ используется только для операций

operation

Название операции ADCM. В случае авторизации названием операции всегда будет User logged

resource

Название объекта ADCM, над которым осуществляется операция. Этот ключ не используется при записи данных аутентификации и выполнении фоновых задач (background jobs). Этот ключ может быть пустым, если act равен "create" и result равен 'fail' или 'denied'

result

Результат операции. Может принимать следующие значения: success, fail, denied. Значение success принимается в случае, когда операция успешно завершилась (Severity = 1). Значение fail принимается в случае, когда операция завершилась неуспешно (Severity = 1). Значение denied принимается в случае, когда пользователь попытался запустить операцию, не имея на это прав (Severity = 3).

timestamp

Дата и время операции в ADCM

address

Последний IP-адрес в HTTP_X_FORWARDED_FOR (при наличии), иначе REMOTE_ADDR, либо null, если оба адреса отсутствуют

Пример

Вы можете просматривать лог-файл, используя команду tail:

$ tail -100f  /opt/adcm/log/audit.log

Результат:

CEF: 0|Arenadata Software|Arenadata Cluster Manager|2022.10.04.17|api/v1/provider/<int:provider_id>/host/|Host created|1|actor="admin" act="create" operation="Host created" resource="my-host-1" result="success" timestamp="2022-10-14 13:32:03.389458+00:00"
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней