Запись Истории действий в Syslog или Event Viewer
Пассворк может записывать события из Истории действий в формате CEF (Common Event Format), это позволяет настроить отправку событий в SIEM (Система управления информацией и событиями информационной безопасности).
Мы не предоставляем инструкции или примеры по настройке конкретных решений для логгирования, поскольку такие действия напрямую зависят от инфраструктуры конкретной компании.
Необходимо перейти в Настройки и пользователи → История действий → Настройки, активировать параметр — Записывать историю действий в syslog или журнал событий Windows:
По умолчанию после активации все события Пассворка будут записываться в локальный файл:
- DEB (Ubuntu, Debian, Astra Linux) — /var/log/syslog
- RPM (РЕД ОС, CentOS, RedHat) — /var/log/messages
- Docker — /<passwork>/log/php/syslog
Если в Linux серверах на базе DEB отсутствует syslog файл, необходимо установить пакет — apt install syslog-ng -y
Каждое событие включает:
- Код события (Event ID) — уникальный идентификатор действия, например item_created;
- Приоритет (Severity) — уровень важности события от 1 (низкий) до 10 (высокий);
- Описание — описание произошедшего действия;
- Дополнительные поля:
- suid — ID пользователя, выполнившего действие;
- suser — Логин пользователя, выполнившего действие;
- duid — ID пользователя, над которым выполнено действие;
- duser — Логин пользователя, над которым выполнено действие;
- passworkIp — IP-адрес клиента.
Структура события:
В Пассворке реализованы следующие события, которые фиксируются в локальный файл — Список событий из Истории действий
