Журнал безопасности

Примечание

Действия выполняются пользователем с ролью Администратор безопасности кластера

Журнал безопасности — хронологическая запись действий пользователей в рамках ВЦОД. Параметры событий определяются политикой безопасности Клиента и иными руководящими документами.

Внимание

Настройка и отслеживание событий происходит в рамках ВЦОД

В рамках журнала безопасности можно выполнить следующие действия:

Просмотреть зарегистрированные события.
Настроить параметры записи событий:
- вводом параметров регистрации событий через командную строку;
- загрузкой файла с параметрами регистрации событий.
Архивировать журнал безопасности:
- настроить регулярный процесс автоматического архивирования;
- принудительно архивировать журнал событий.

Просмотреть события в журнале безопасности

Чтобы отобразить отслеживаемые события, введите в командной строке
```
aaaevents event list
```

Чтобы настроить фильтр отображаемых событий, используйте параметры, указанные в Таблице ниже.

Таблица — Параметры настройки фильтра отображаемых событий.

Параметр	Функции параметра
`login <user_login>`	Список всех действий пользователя за последнее время
`limit <number_events>`	Отображение заданного количества событий
`full`	Подробная информация о событии. Включает результат завершения операции: успех или ошибку
`begin`, `end`	Временной диапазон отображаемых событий
`operation`	Тип событий
`level <INFO, WARNING, CRITICAL>`	Уровень событий
`group <event_group>`	Отображение событий в пределах указанной группы

Чтобы отобразить конкретное событие, введите
```
aaaevents event show --uuid <event_uuid>
```
где uuid — идентификатор события.
Просмотр всех типов событий в пределах ВЦОД
```
aaaevents event types
```

Настроить параметры записи событий

Настроить параметры регистрации событий вручную

Настроить уровень регистрируемых событий
```
aaaevents event loglevel --setlevel {INFO, WARNING, CRITICAL}
```
Задать параметры хранения событий
```
aaaevents param add --events_params <group or level>  --ttl_days <days_number>
```
где
- events_params — указывает группы или уровни события;
- ttl_days — период хранения событий в днях.

Обновить параметры

aaaevents param update --events_params <group or level>  --ttl_days <days_number>

Удалить параметры
```
aaaevents param del
```

Загрузить файл с параметрами регистрации событий

Параметры записи событий можно загрузить с помощью файла YAML.

Создайте и сохраните файл с параметрами записи событий.

Пример файла
```
apiVersion: v1
kind: api
metadata:
   plugin:
      aaaevents:
         param: add

spec:
   ttl_days: 14
   events_params:
      "User logout":
         group: "Authentication and authorization"
         level: "WARN"
         notif_route: test
      "Auth to cluster":
         group: "Authentication and authorization"
         level: "CRITICAL"
         notif_route: test
      "Add new user":
         group: "User account"
         level: "INFO"
         notif_route: test
```
где
- "User logout", "Auth to cluster", "Add new user" — типы событий;
- group — группа, к которой относится данный тип события;
- level — уровень критичности события. Доступны 3 уровня критичности: INFO, WARNING, CRITICAL;
- notif_route — имя маршрута для отправки уведомлений о событии.
Примечание

Заранее настройте маршрут отправки уведомлений о событиях.
Для каждого типа событий можно использовать отдельные маршруты записи
Загрузите файл на Платформу.

Чтобы загрузить файлы в Sharx Base, введите команду
```
resource --spec <path_to_yaml_file>
```
где spec — расположение YAML-файла.

При локальном расположении на АРМ пользователя введите путь до файла.

При расположении в стороннем репозитории укажите ссылку на данный файл.
Проверьте загрузку файла
```
aaaevents param show
```
Параметры событий должны отобразиться в общем списке.

Архивировать журнал безопасности

Архивирование позволяет сохранить данные на длительный срок, оптимизировать пространство для хранения, а также обеспечить безопасность и восстановление данных.

После архивирования журнал безопасности очищается, информация о зарегистрированных событиях находится в архиве. Новые события, происходящие после архивирования, дальше записываются в журнал безопасности до следующего запуска процесса архивирования.

Sharx Base позволяет настроить:

Регулярное архивирование, которое будет выполняться автоматически по заданным параметрам без участия администратора.
Ручное архивирование журнала безопасности, инициируемое администратором.

Настроить регулярное архивирование журнала безопасности

Чтобы настроить регулярный процесс архивирования журнала безопасности, необходимо задать параметры архивирования и указать маршрут отправки уведомлений о занятом месте в архиве.

Параметры архивирования журнала безопасности

SDC_PLGN_AAAEVENTS_ALL_EVENTS_DEFAULT_DAYS. Период удаления событий из БД. Значение по умолчанию — 365 дней.

Чтобы изменить период удаления событий, в файле /etc/sdc-env задайте новое значение параметра
```
SDC_PLGN_AAAEVENTS_ALL_EVENTS_DEFAULT_DAYS=<new_count_days>
```
Перезагрузите Sharx Base.

Примечание

Изменения применяются только к новым событиям. События, имеющиеся в БД до внесения изменений, удалены не будут
SDC_PLGN_AAAEVENTS_ARCHIVE_FOLDER. Директория для хранения архивированных данных. Значение по умолчанию — /var/lib/sharx/mziarch.

Чтобы изменить директорию для хранения архивированных данных, в файле /etc/sdc-env задайте новое значение параметра
```
SDC_PLGN_AAAEVENTS_ARCHIVE_FOLDER=<new_folder>
```
Перезагрузите Sharx Base.

Архивирование происходит 1 раз в месяц. В архив попадают данные за позапрошлый месяц. Например, в марте архивируются события, произошедшие в январе

Примечание

Архивы, созданные до внесения изменений, автоматически не переносятся в новую директорию
SDC_PLGN_AAAEVENTS_ARCHIVE_FILENAME_TEMPLATE. Формат имени файла архива, созданного автоматически.

Значение по умолчанию — ns_{ns}/aaaevents_{ns}{cluster}{yyyymm}

где
- ns — имя ВЦОД заархивированных данных;
- cluster — имя кластера, которому принадлежит ВЦОД;
- yyyymm — год и месяц архивирования.
Чтобы изменить формат имени файла архива, созданного автоматически, в файле /etc/sdc-env задайте новое значение параметра
```
SDC_PLGN_AAAEVENTS_ARCHIVE_FILENAME_TEMPLATE=<new_format>
```
Перезагрузите Sharx Base.
SDC_PLGN_AAAEVENTS_ARCHIVE_MANUAL_FILENAME_TEMPLATE. Формат имени файла архива, созданного вручную.

Значение по умолчанию — ns_{ns}/aaaevents_manual_{ns}{cluster}{to}

где
- ns — имя ВЦОД заархивированных данных;
- cluster — имя кластера, которому принадлежит ВЦОД;
- to — архивирование событий, созданных включительно до указанной даты.
Чтобы изменить формат имени файла архива, созданного вручную, в файле /etc/sdc-env задайте новое значение параметра
```
SDC_PLGN_AAAEVENTS_ARCHIVE_MANUAL_FILENAME_TEMPLATE=<new_format>
```
Перезагрузите Sharx Base.
SDC_PLGN_AAAEVENTS_FREESPACE_LIMIT_FOLDER. Раздел диска для контроля заполненности. По умолчанию не задано.

Чтобы задать параметр, в файле /etc/sdc-env введите
```
SDC_PLGN_AAAEVENTS_FREESPACE_LIMIT_FOLDER=<new_folder>
```
Перезагрузите Sharx Base.
SDC_PLGN_AAAEVENTS_FREESPACE_LIMIT_BYTES. Минимально допустимое значение свободного места на отслеживаемом разделе диска, байт. По умолчанию — 1000000000 байт (1 Гбайт).

Чтобы изменить параметр, в файле /etc/sdc-env задайте
```
SDC_PLGN_AAAEVENTS_FREESPACE_LIMIT_BYTES=<new_value>
```
Перезагрузите Sharx Base.

Маршрут отправки уведомлений о занятом месте в разделе хранения архивов

Укажите маршрут отправки уведомлений о занятом месте в директории с архивами.

В Sharx Base в командой строке введите

aaaevents archive freespacelimitnotifroute --setroute <route>

где setroute — имя маршрута для отправки уведомлений о событии.

Принудительно архивировать и очистить журнал безопасности

Примечание

При архивировании все события за указанный период переносятся из журнала безопасности в архив, журнал безопасности при этом очищается

Чтобы принудительно архивировать события, введите команду

aaaevents archive make --up_to_date <date>

где up_to_date — переменная для установки периода архивирования.

Возможные значения up_to_date:

при установке значения 1 все события из журнала безопасности до текущего момента будут заархивированы и удалены из журнала безопасности;
при установке конкретной даты в формате YYYY-MM-DD будут собраны все события до этой даты включительно
Пример
```
aaaevents archive make --up_to_date 2025-03-09
```
В архив будут собраны все события с кластера до 9 марта 2025 года включительно
можно указать отрицательное число, например -10. В архив будут собраны все события, которые произошли до даты десятидневной давности
Пример
```
aaaevents archive make --up_to_date -10
```
20 января 2025 г во флаге указали -10. В архив попали все события до 10 января 2025 г. включительно

Термины и определения содержатся в статьях: