Описание
Пассворк может записывать события из Истории действий в формате CEF (Common Event Format), это позволяет настроить отправку событий в SIEM (Система управления информацией и событиями информационной безопасности).
Мы не предоставляем инструкции или примеры по настройке конкретных решений для логгирования, поскольку такие действия напрямую зависят от инфраструктуры конкретной компании.
Активация
Необходимо перейти в Настройки и пользователи → История действий → Настройки, активировать параметр — Записывать историю действий в syslog или журнал событий Windows:
По умолчанию после активации все события Пассворка будут записываться в локальный файл:
- DEB (Ubuntu, Debian, Astra Linux) — /var/log/syslog
- RPM (РЕД ОС, CentOS, RedHat) — /var/log/messages
- Docker — /<passwork>/log/php/syslog
- Windows Server — Настройка Просмотра событий
Если в Linux серверах на базе DEB отсутствует syslog файл, необходимо установить пакет — apt install syslog-ng -y
Каждое событие включает:
- Значение Device(в зависимости от клиен�та):
- Веб-интефрейс — web;
- Браузерное расширение — browser addon;
- Мобильное приложение — mobile;
- API-запрос — api;
- Действие, выполненное системой — internal.
- Код события (Event ID) — уникальный идентификатор действия, например item_created;
- Приоритет (Severity) — уровень важности события от 1 (низкий) до 10 (высокий);
- Описание — описание произошедшего действия.
- Дополнительные поля:
- suid — ID пользователя, выполнившего действие;
- suser — Логин пользователя, выполнившего действие;
- duid — ID пользователя, над которым выполнено действие;
- duser — Логин пользователя, над которым выполнено действие;
- passworkIp — IP-адрес клиента.
Структура события:
- CEF
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
В Пассворке реализованы следующие события, которые фиксируются в локальный файл — Список событий