Журнал безопасности

Примечание

Действия выполняются пользователем с ролью Администратор безопасности ВЦОД

Журнал безопасности — хронологическая запись действий пользователей в рамках ВЦОД. Параметры событий определяются политикой безопасности Клиента и иными руководящими документами.

Внимание

Настройка и отслеживание событий происходит в рамках ВЦОД

В рамках журнала безопасности можно выполнить следующие действия:

Просмотреть зарегистрированные события.
Настроить параметры записи событий:
- вводом параметров регистрации событий через командную строку;
- загрузкой файла с параметрами регистрации событий.

Просмотреть события в журнале безопасности

Чтобы отобразить отслеживаемые события, введите в командной строке
```
aaaevents event list
```

Чтобы настроить фильтр отображаемых событий, используйте параметры, указанные в Таблице ниже.

Таблица — Параметры настройки фильтра отображаемых событий.

Параметр	Функции параметра
`begin`, `end`	Временной диапазон отображаемых событий
`full`	Подробная информация о событии. Включает результат завершения операции: успех или ошибку
`group <event_group>`	Отображение событий в пределах указанной группы
`level <INFO, WARNING, CRITICAL>`	Уровень событий
`limit <number_events>`	Отображение заданного количества событий
`login <user_login>`	Список всех действий пользователя за последнее время
`obj_uuid`	Отобразить события, связанные только с определенным виртуальным кластером или ВМ
`operation`	Тип событий

Чтобы отобразить конкретное событие, введите
```
aaaevents event show --uuid <event_uuid>
```
где uuid — идентификатор события.
Просмотр всех типов событий в пределах ВЦОД
```
aaaevents event types
```

Настроить параметры записи событий

Настроить параметры регистрации событий вручную

Настроить уровень регистрируемых событий
```
aaaevents event loglevel --setlevel {INFO, WARNING, CRITICAL}
```
Задать параметры хранения событий
```
aaaevents param add --events_params <group or level>  --ttl_days <days_number>
```
где
- events_params — указывает группы или уровни события;
- ttl_days — период хранения событий в днях.

Обновить параметры

aaaevents param update --events_params <group or level>  --ttl_days <days_number>

Удалить параметры
```
aaaevents param del
```

Загрузить файл с параметрами регистрации событий

Параметры записи событий можно загрузить с помощью файла YAML.

Создайте и сохраните файл с параметрами записи событий.

Пример файла
```
apiVersion: v1
kind: api
metadata:
   plugin:
      aaaevents:
         param: add

spec:
   ttl_days: 14
   events_params:
      "User logout":
         group: "Authentication and authorization"
         level: "WARN"
         notif_route: test
      "Auth to cluster":
         group: "Authentication and authorization"
         level: "CRITICAL"
         notif_route: test
      "Add new user":
         group: "User account"
         level: "INFO"
         notif_route: test
```
где
- "User logout", "Auth to cluster", "Add new user" — типы событий;
- group — группа, к которой относится данный тип события;
- level — уровень критичности события. Доступны 3 уровня критичности: INFO, WARNING, CRITICAL;
- notif_route — имя маршрута для отправки уведомлений о событии.
Примечание

Заранее настройте маршрут отправки уведомлений о событиях.
Для каждого типа событий можно использовать отдельные маршруты записи
Загрузите файл на Платформу.

Чтобы загрузить файлы в Sharx Base, введите команду
```
resource --spec <path_to_yaml_file>
```
где spec — расположение YAML-файла.

При локальном расположении на АРМ пользователя введите путь до файла.

При расположении в стороннем репозитории укажите ссылку на данный файл.
Проверьте загрузку файла
```
aaaevents param show
```
Параметры событий должны отобразиться в общем списке.

Термины и определения содержатся в статьях: