Обзор журнала событий

ℹ️ О разделе

Журнал событий безопасности IDENTYX автоматически регистрирует все важные действия в системе. Этот раздел описывает структуру журнала, типы событий и способы работы с ним.

Что такое журнал событий

Журнал событий безопасности — это централизованная система логирования, которая автоматически фиксирует все значимые действия в IDENTYX. Каждое событие сохраняется с подробной информацией о времени, пользователе, приложении и результате операции.

Основные возможности:

  • Автоматическая регистрация — все события записываются системой без необходимости настройки
  • Детальная информация — каждая запись содержит данные о пользователе, времени, IP-адресе и результате
  • Фильтрация и поиск — мощные инструменты для быстрого поиска нужных событий
  • Аудит безопасности — отслеживание попыток несанкционированного доступа и подозрительных действий
  • Соответствие требованиям — журнал помогает выполнять требования регуляторов по аудиту действий в системе

Структура записи журнала

Каждая запись в журнале событий содержит следующую информацию:

Поле Описание Пример
ID записи Уникальный идентификатор события 12345
Дата и время Точное время создания записи 2024-01-15 14:32:15
Приложение Приложение, в котором произошло событие (IAM или OIDC приложение) IAM, Портал сотрудников
Пользователь Отображаемое имя пользователя, совершившего действие Иванов Иван Иванович
ID пользователя Внутренний идентификатор пользователя 550e8400-e29b-41d4-a716-446655440000
IP-адрес IP-адрес, с которого выполнялось действие 192.168.1.100
Код события Технический код типа события auth_success
Описание события Человекочитаемое описание того, что произошло Успешная аутентификация пользователя
Результат Успешность выполнения операции Успех, Отказ, Не указано

Типы событий

IDENTYX регистрирует широкий спектр событий, сгруппированных по категориям:

🔐 События аутентификации
  • Успешная аутентификация — пользователь успешно вошел в систему
  • Неуспешная аутентификация — неудачная попытка входа
  • Успешная внешняя аутентификация — вход через Сбер ID, ЕСИА, VK, Яндекс, Telegram
  • Неуспешная внешняя аутентификация — ошибка входа через внешнего провайдера
🔑 События двухфакторной аутентификации
  • Требуется установка MFA — пользователю предложено настроить 2FA
  • MFA успешно подтверждена — код верификации принят
  • Ошибка подтверждения MFA — неправильный код верификации
  • Инициирована регистрация MFA — начата настройка нового метода 2FA
  • Успешная регистрация MFA — метод 2FA успешно добавлен
  • Ошибка регистрации MFA — не удалось зарегистрировать метод 2FA
  • Запрошена верификация MFA — система запросила проверку 2FA
🔒 События управления паролями
  • Запрошен сброс пароля — пользователь инициировал восстановление пароля
  • Пароль успешно сброшен — пароль изменен через восстановление
  • Ошибка сброса пароля — не удалось сбросить пароль
  • Пароль успешно изменен — пользователь сменил пароль
  • Ошибка изменения пароля — не удалось сменить пароль
🚫 События блокировки учетных записей
  • Блокировка администратором — учетная запись заблокирована вручную
  • Разблокировка учетной записи — администратор снял блокировку
  • Блокировка после неудачного ввода пароля — автоматическая блокировка при превышении лимита попыток
  • Блокировка из-за неактивности — учетная запись заблокирована из-за длительного отсутствия входа
👥 События управления пользователями
  • Успешное управление пользователями — создание, изменение или удаление пользователя
  • Ошибка управления пользователями — неудачная попытка изменения данных пользователя
👥 События управления группами
  • Управление группами — создание, изменение, удаление групп или членства в них
🎫 События управления сессиями
  • Успешное управление сессиями — создание или завершение сессии
  • Ошибка управления сессиями — не удалось выполнить операцию с сессией
🔐 События управления правами
  • Проверка прав — система проверила наличие прав у пользователя
  • Управление разрешениями — изменение прав доступа пользователя или группы
  • Управление ролями — назначение или изменение ролей
⚙️ Другие события
  • Системные настройки — изменение параметров системы
  • Действия администратора — специальные административные операции
  • Использование API — вызовы через API
  • Доступ к данным — чтение или изменение данных
  • Угроза безопасности — обнаружена потенциальная угроза

Доступ к журналу событий

Чтобы просмотреть журнал событий:

  1. Войдите в систему IDENTYX под учетной записью с правами администратора
  2. В главном меню перейдите в раздел Журнал событий
  3. Откроется таблица со всеми зарегистрированными событиями
⚠️ Требуемые права

Для просмотра журнала событий требуются права супер-администратора IAM (/iam:/iam/super-admin). Обычные пользователи и локальные администраторы не имеют доступа к журналу.

Автоматическое логирование

IDENTYX автоматически регистрирует события в следующих случаях:

  • Аутентификация — каждая попытка входа (успешная или нет) регистрируется в журнале
  • Административные действия — создание, изменение или удаление пользователей, групп, приложений
  • Изменение прав доступа — назначение или отзыв прав, изменение ACL правил
  • Управление сессиями — создание и завершение сессий пользователей
  • Изменение паролей — сброс, смена или установка новых паролей
  • События безопасности — блокировки учетных записей, превышение лимита попыток входа
  • Настройка 2FA — добавление, удаление или использование методов двухфакторной аутентификации
✅ Без необходимости настройки

Вам не нужно настраивать или включать журналирование — оно работает автоматически с момента установки IDENTYX. Все события регистрируются в реальном времени.

Просмотр деталей записи

Для просмотра полной информации о событии:

  1. В таблице журнала найдите нужное событие
  2. Нажмите на строку с событием
  3. Откроется детальная карточка с полной информацией

Детальная карточка содержит:

  • Основная информация — ID записи, дата и время, приложение, результат
  • Данные пользователя — имя, ID пользователя, IP-адрес
  • Данные события — код события с расшифровкой, полное описание
  • Кнопки копирования — быстрое копирование ID записи, ID пользователя или всей записи целиком

Статусы результатов

Каждое событие может иметь один из трех статусов результата:

Статус Значок Описание
Успех ✅ Зеленая галочка Операция выполнена успешно
Отказ ❌ Красный крестик Операция не выполнена (ошибка, отказ в доступе, неверные данные)
Не указано ❓ Серый вопрос Результат не определен (информационные события, проверки)

Типичные сценарии использования

🔍 Расследование инцидентов

При подозрении на несанкционированный доступ проверьте журнал на предмет:

  • Неуспешных попыток входа с конкретного IP
  • Успешных входов в необычное время
  • Изменений в правах доступа
  • Блокировок учетных записей
📊 Аудит действий пользователя

Для проверки действий конкретного пользователя:

  • Отфильтруйте события по имени пользователя
  • Просмотрите все его действия за период
  • Проверьте время входов и выходов
  • Изучите изменения, которые он вносил
🛡️ Мониторинг безопасности

Регулярно проверяйте журнал на наличие:

  • Множественных неудачных попыток входа
  • Входов с подозрительных IP-адресов
  • Угроз безопасности
  • Необычной активности в нерабочее время
📋 Соответствие требованиям

Для выполнения требований регуляторов используйте журнал для:

  • Доказательства аудита всех действий
  • Отслеживания изменений в правах доступа
  • Документирования административных операций
  • Предоставления отчетов аудиторам

Хранение данных журнала

Важные особенности хранения данных журнала:

  • Постоянное хранение — записи журнала хранятся в базе данных постоянно
  • Невозможность удаления — пользователи не могут удалять записи из журнала для обеспечения целостности аудита
  • Целостность данных — записи не могут быть изменены после создания
  • Резервное копирование — журнал включается в резервные копии системы
ℹ️ Очистка старых записей

Если требуется очистить старые записи журнала для освобождения места, это можно сделать только через прямой доступ к базе данных. Рекомендуется перед очисткой создать резервную копию или экспортировать старые записи.

Производительность

Журнал событий оптимизирован для высокой производительности:

  • Асинхронная запись — события регистрируются без замедления основных операций
  • Индексы базы данных — быстрый поиск по всем полям
  • Пагинация — загрузка событий порциями для ускорения отображения
  • Ограничение выборки — максимум 200 записей за один запрос для оптимизации

Безопасность журнала

Журнал событий защищен следующими механизмами:

  • Ограниченный доступ — только супер-администраторы могут просматривать журнал
  • Невозможность изменения — записи создаются системой и не могут быть изменены пользователями
  • Фиксация IP-адресов — для каждого события сохраняется источник действия
  • Привязка к сессиям — события связаны с конкретными сессиями пользователей
✅ Готовы к практике?

Теперь, когда вы понимаете структуру и возможности журнала событий, переходите к разделу События аутентификации, чтобы узнать детали о событиях входа в систему и их интерпретации.

ℹ️ Связанные разделы

События аутентификации — детальное описание событий входа в систему
События управления — события создания и изменения пользователей, групп и других объектов
Поиск и фильтрация — как эффективно искать события в журнале