Создание подписки на события аудита

Для создания подписки на события аудита необходимо выполнить следующие действия:

  1. В разделе Подписки на события аудита нажать кнопку img.

  2. В открывшейся форме создания заполнить поля.

img

Наименование подписки заполняется вручную. В поле Сервис из выпадающего списка выбирается тот сервис, по которому будут отбираться события.

Для каждого сервиса предусмотрена только одна подписка на события. При попытке дублирования подписки Система не позволяет завершить создание, появляется соответствующее уведомление.

img

В блоке Настройки подписки добавляются классы событий. Список классов событий меняется в зависимости от выбранного сервиса. Для добавления классов событий необходимо нажать кнопку img и в открывшемся окне отметить чекбоксами нужные классы событий, после чего нажать кнопку [Выбрать].

img

В окне выбора классов событий отображаются техническое и русскоязычное наименования классов событий. Также русскоязычное наименование можно просмотреть в блоке Настройки подписки при наведении курсора на строку технического наименования добавленного класса события.

В блоке Настройки подписки для каждого выбранного класса событий доступна возможность проставления чекбоксов в колонках «Сохранить в Syslog» и «Сохранить в Журнал аудита».

img

Активный чекбокс в колонке «Сохранить в Syslog» реализует отправку данных по текущему событию на внешний Syslog сервер. Отправка на внешний Syslog сервер работает только при условии, если в сервисе «Управление настройками» для аудита администратором заведены три конфигурации с ключами и прописанными значениями:

  • docshouse.syslog.protocol;
  • docshouse.syslog.port;
  • docshouse.syslog.host.

Для просмотра записей используется стороннее ПО mRemoteNG и Syslog Watcher Manager. В mRemoteNG необходимо создать новое подключение, в его параметрах указать IP-адрес согласно значению «docshouse.syslog.host», имя пользователя и пароль. После подключения и настройки соединения, которое будет получать события аудита Системы, нужно запустить Syslog Watcher Manager, где на вкладке View: Latest отображаются все последние события, для которых активирован чекбокс «Сохранить в Syslog», и их детали.

img

Реализована возможность создания условий отбора событий аудита. Для создания условия необходимо нажать кнопку [Задать] в строке нужного класса событий. В открывшемся окне заполнить поля.

img

Поле Формула заполняется вручную. Формула задается в синтаксисе JSONata, который является нативным языком, позволяющим фильтровать события аудита и преобразовывать JSON структуры. Форма создания включает в себя справочное окно, информирующее пользователя о том, как задается и работает формула условия. Для раскрытия полной информации необходимо нажать [Развенуть].

Если требуется создать отбор по объектам, перед параметрами объекта необходимо указать «eventData», который берется из Apache Kafka. Например, чтобы события по созданию объекта попадали в журнал аудита, можно задать формулу «eventData.createdBy="admin" and eventData.className="test-object"», где условиями является создание пользователем «admin» объекта класса «test-object».

Предусмотрена проверка текущего условия на этапе создания, либо после – в карточке условия. Для проверки необходимо под полем Формула нажать кнопку [Проверить]. В открывшемся модальном окне уже будет автоматически заполнена формула из карточки условия, но если формула предусматривает «eventData», то на время проверки «eventData» нужно убрать, так как проверяется только тело объекта. В левой же части модального окна требуется добавить модель для проверки, то есть какой-либо JSON-объект. В поле Результат сразу же отобразится результат проверки: «true» или «false».

img

Если параметры модели не совпадают с формулой, результатом проверки будет «false». Метод вызывается и результат меняется сразу же при любом внесении изменений в модель или формулу.

Для сохранения нажать кнопку img в форме создания условия. В дальнейшем события будут фильтроваться в соответствии с заданным условием и появляться в журнале аудита, а также в истории объектов.

Чтобы изменить существующее условие, необходимо в строке класса событий нажать кнопку [Изменить].

3. Если необходимые данные в форме создания указаны, нажать кнопку img.

Созданная подписка на события аудита появится в рабочем поле раздела. После активации данной подписки выбранные для нее классы событий, происходящие в указанном при создании подписки сервисе, будут записываться и отображаться в разделе Журнал событий аудита и в истории.