События аутентификации

ℹ️ О разделе

В этом разделе описываются все типы событий аутентификации, которые регистрируются в журнале IDENTYX. Вы узнаете, как интерпретировать события входа в систему, какие данные они содержат и как использовать их для мониторинга безопасности.

Обзор событий аутентификации

События аутентификации — это самая важная категория записей в журнале безопасности. Каждая попытка входа в систему (успешная или неудачная) автоматически регистрируется с полной информацией о пользователе, времени, IP-адресе и методе аутентификации.

IDENTYX регистрирует следующие основные типы событий аутентификации:

  • Локальная аутентификация — вход по логину/email и паролю
  • LDAP аутентификация — вход через Active Directory или FreeIPA
  • Внешние провайдеры — вход через Сбер ID, ЕСИА, Яндекс ID, VK ID
  • Telegram аутентификация — вход через Telegram бота
  • Электронная подпись — вход через КриптоПро
  • WebAuthn — вход через ключи безопасности или биометрию
  • Двухфакторная аутентификация — события проверки второго фактора

Коды событий аутентификации

Каждое событие имеет уникальный код, который помогает быстро идентифицировать тип события:

Код Название Описание
132 auth_success Успешная локальная аутентификация
133 auth_failure Неуспешная локальная аутентификация
134 external_auth_success Успешная внешняя аутентификация (LDAP, Сбер, ЕСИА и т.д.)
135 external_auth_failure Неуспешная внешняя аутентификация
ℹ️ Локальная vs Внешняя

Локальная аутентификация (auth_success/auth_failure) — это вход по логину и паролю, который проверяется внутри IDENTYX. Внешняя аутентификация (external_auth_success/external_auth_failure) — это вход через внешние системы: LDAP, OAuth-провайдеры (Сбер, ЕСИА, VK, Яндекс), Telegram, КриптоПро или WebAuthn.

События локальной аутентификации

Локальная аутентификация — это вход пользователя по логину или email и паролю, которые хранятся в базе данных IDENTYX.

Успешная локальная аутентификация

Код события: 132 (auth_success)

Когда регистрируется:

  • Пользователь ввел правильный логин/email и пароль
  • Учетная запись не заблокирована
  • Пройдена проверка второго фактора (если требуется)

Пример описания события:

Пользователь аутентифицирован через WebAuthn без запроса второго фактора (согласно настройке)

Что содержит запись:

  • Имя пользователя — отображаемое имя пользователя, который вошел
  • IP-адрес — с какого адреса был выполнен вход
  • Время — точное время успешного входа
  • Результат — зеленая галочка ✅ "Успех"

Неуспешная локальная аутентификация

Код события: 133 (auth_failure)

Когда регистрируется:

  • Неверный логин или пароль
  • Попытка входа в несуществующую учетную запись
  • Учетная запись найдена, но пароль неверный

Пример описания события:

Аутентификация не пройдена. Неверные учетные данные.

Что содержит запись:

  • IP-адрес — с какого адреса была попытка входа
  • Время — когда была попытка
  • Результат — красный крестик ❌ "Отказ"
  • Имя пользователя — может отсутствовать, если учетная запись не найдена
⚠️ Важно для безопасности

Множественные события auth_failure с одного IP-адреса могут указывать на попытку подбора пароля (brute-force атаку). Регулярно проверяйте журнал на наличие таких событий.

События внешней аутентификации

Внешняя аутентификация включает все методы входа, которые используют внешние системы проверки учетных данных.

Успешная внешняя аутентификация

Код события: 134 (external_auth_success)

Когда регистрируется:

  • Пользователь успешно вошел через LDAP/Active Directory
  • Пользователь аутентифицирован через Сбер ID
  • Пользователь вошел через ЕСИА (Госуслуги)
  • Пользователь аутентифицирован через Яндекс ID или VK ID
  • Пользователь вошел через Telegram
  • Пользователь успешно использовал электронную подпись КриптоПро
  • Пользователь вошел через WebAuthn (ключ безопасности или биометрию)

Примеры описания событий:

Пользователь успешно аутентифицирован через LDAP
Пользователь успешно аутентифицирован через Сбер ID
Пользователь прикрепил Сбер ID к своей учетной записи

Что содержит запись:

  • Имя пользователя — пользователь, который вошел
  • IP-адрес — с какого адреса был выполнен вход
  • Описание — какой именно метод использовался (LDAP, Сбер ID, ЕСИА и т.д.)
  • Время — точное время успешного входа
  • Результат — зеленая галочка ✅ "Успех"

Неуспешная внешняя аутентификация

Код события: 135 (external_auth_failure)

Когда регистрируется:

  • LDAP домен недоступен или учетные данные неверны
  • OAuth-провайдер (Сбер, ЕСИА, VK, Яндекс) вернул ошибку
  • Telegram подпись не прошла проверку
  • Истек срок действия данных от Telegram
  • Сертификат электронной подписи недействителен
  • Пользователю запрещен вход через конкретный метод
  • Автоматическая регистрация через внешнего провайдера отключена

Примеры описания событий:

В аутентификации пользователя отказано. Домен: example.com, Имя пользователя: ivanov
Пользователю не разрешено входить через Сбер ID
В аутентификации пользователя отказано. Неверная подпись Telegram.
В аутентификации пользователя отказано. Истек срок действия данных Telegram.
Пользователю не разрешено входить через LDAP

Что содержит запись:

  • IP-адрес — с какого адреса была попытка
  • Описание — детали причины отказа
  • Имя пользователя — если удалось определить
  • Время — когда произошла попытка
  • Результат — красный крестик ❌ "Отказ"
🔐 LDAP аутентификация

Успешные события включают:

  • Вход через Active Directory
  • Вход через FreeIPA
  • Автоматическое создание пользователя при первом входе

Ошибки могут быть из-за:

  • Недоступности LDAP сервера
  • Неверных учетных данных
  • Запрета входа через LDAP для конкретного пользователя
🇷🇺 Российские OAuth провайдеры

Поддерживаемые провайдеры:

  • Сбер ID
  • ЕСИА (Госуслуги)
  • Яндекс ID
  • VK ID

Записываются события:

  • Успешный вход через провайдера
  • Привязка провайдера к существующей учетной записи
  • Автоматическая регистрация нового пользователя
  • Отказ из-за запрета метода аутентификации
📱 Telegram аутентификация

Успешные события:

  • Вход через Telegram Login Widget
  • Привязка Telegram аккаунта

Возможные ошибки:

  • Отсутствие hash (данные не прошли проверку)
  • Telegram бот не настроен в системе
  • Неверная подпись Telegram
  • Истек срок действия данных (более 86400 секунд)
✍️ Электронная подпись (КриптоПро)

Успешные события:

  • Вход через валидный сертификат электронной подписи
  • Привязка сертификата к пользователю

Возможные ошибки:

  • Сертификат истек или еще не действителен
  • Подпись не прошла проверку
  • Сертификат отозван (в CRL)
🔑 WebAuthn (ключи и биометрия)

Успешные события:

  • Вход через зарегистрированный ключ безопасности
  • Вход через биометрию (отпечаток пальца, Face ID)
  • Пропуск второго фактора при входе через WebAuthn

Возможные ошибки:

  • Устройство не зарегистрировано
  • Проверка подписи не прошла
  • Пользователь отменил операцию

События двухфакторной аутентификации

После успешной первичной аутентификации система может потребовать второй фактор. Все связанные события также регистрируются в журнале.

Код Название Описание
117 mfa_setup_required Требуется установка второго фактора аутентификации
118 mfa_verification_success Второй фактор успешно подтвержден
119 mfa_verification_failure Ошибка подтверждения второго фактора
120 mfa_registration_initiated Инициирована регистрация нового MFA устройства
121 mfa_registration_success Устройство MFA успешно зарегистрировано
122 mfa_registration_failure Ошибка регистрации MFA устройства
140 mfa_verification_requested Запрошена верификация второго фактора

Требование настройки 2FA

Код события: 117 (mfa_setup_required)

Когда регистрируется:

  • Пользователь успешно прошел первичную аутентификацию
  • В системе включено глобальное требование 2FA для всех пользователей
  • Или для конкретного пользователя установлен флаг "Требовать 2FA"
  • У пользователя не настроен ни один метод 2FA (ни TOTP, ни Email 2FA)

Пример описания события:

Требуется установка второго фактора аутентификации для пользователя

Результат: ❌ "Отказ" — вход не завершен, пользователю предложено настроить 2FA

Успешная проверка 2FA

Код события: 118 (mfa_verification_success)

Когда регистрируется:

  • Пользователь ввел правильный TOTP код из приложения-аутентификатора
  • Пользователь ввел правильный код из email
  • Код проверен и совпадает

Примеры описания событий:

Второй фактор аутентификации успешно подтвержден
Второй фактор аутентификации через Email успешно подтвержден

Результат: ✅ "Успех" — пользователь успешно завершил вход в систему

Неудачная проверка 2FA

Код события: 119 (mfa_verification_failure)

Когда регистрируется:

  • Пользователь ввел неправильный TOTP код
  • Пользователь ввел неправильный код из email
  • Код из email не найден или истек срок его действия

Примеры описания событий:

В аутентификации пользователя отказано. Неверный второй фактор.
В аутентификации пользователя отказано. Код не найден.
В аутентификации пользователя отказано. Код устарел.

Результат: ❌ "Отказ" — вход не завершен из-за неверного кода 2FA

Регистрация устройств 2FA

Коды событий:

  • 120 (mfa_registration_initiated) — начата регистрация
  • 121 (mfa_registration_success) — успешно зарегистрировано
  • 122 (mfa_registration_failure) — ошибка регистрации

Когда регистрируются:

  • Пользователь начинает настройку TOTP (сканирует QR-код)
  • Пользователь регистрирует WebAuthn устройство (ключ безопасности или биометрию)
  • Пользователь активирует Email 2FA

Примеры описания событий:

Инициирована регистрация нового устройства Webauthn
Успешно зарегистрировано новое устройство Webauthn
Пользователь активировал Email 2FA в процессе авторизации

Запрос верификации 2FA

Код события: 140 (mfa_verification_requested)

Когда регистрируется:

  • Система отправила код подтверждения на email пользователя
  • Пользователю предложено ввести TOTP код

Пример описания события:

Отправлен код подтверждения на Email для второго фактора аутентификации

Результат: ❓ "Не указано" — это информационное событие, результат еще не определен

События блокировки учетных записей

При неудачных попытках аутентификации может происходить автоматическая блокировка учетной записи:

Код Название Описание
115 account_lockout Блокировка учетной записи (общее событие)
128 account_lockout_admin Блокировка администратором
129 account_unlock_admin Разблокировка администратором
130 account_lockout_password Блокировка после неудачных попыток ввода пароля
131 account_lockout_inactivity Блокировка из-за неактивности (долгое отсутствие входа)

Примеры описания событий:

Пользователь успешно аутентифицирован, но во входе отказано, учетная запись заблокирована.
Пользователь заблокирован так как предыдущий вход был выполнен более 90 дней назад
🚫 Автоматическая блокировка

Если в настройках системы указан параметр блокировки при неактивности (например, 90 дней), то пользователь будет автоматически заблокирован при попытке входа, если предыдущий успешный вход был слишком давно. Это защищает от компрометации давно неиспользуемых учетных записей.

Просмотр событий аутентификации в журнале

Чтобы найти события аутентификации в журнале:

  1. Перейдите в раздел Журнал событий
  2. В столбце "Код события" используйте фильтр для поиска конкретных кодов
  3. Для поиска всех событий локальной аутентификации введите: auth_success или auth_failure
  4. Для поиска всех событий внешней аутентификации введите: external_auth_success или external_auth_failure
  5. Используйте фильтр "Результат" для отображения только успешных или только неудачных попыток
  6. Используйте фильтр "IP пользователя" для поиска попыток с конкретного адреса
  7. Используйте фильтр "Пользователь" для поиска событий конкретного пользователя
✅ Совет

Для быстрого поиска всех неудачных попыток входа установите фильтр Результат в значение "Отказ" и фильтр Код события в auth_failure или external_auth_failure. Это поможет быстро выявить подозрительную активность.

Типичные сценарии использования

🔍 Поиск попыток взлома

Задача: Найти множественные неудачные попытки входа с одного IP

  1. Откройте журнал событий
  2. Установите фильтр Результат: "Отказ"
  3. Установите фильтр Код события: auth_failure
  4. Отсортируйте по IP-адресу
  5. Ищите IP с множественными попытками

Действия: Заблокируйте подозрительные IP на уровне файрвола

📊 Аудит входов пользователя

Задача: Проверить все входы конкретного пользователя за период

  1. Откройте журнал событий
  2. В фильтре Пользователь введите имя пользователя
  3. Установите фильтр Код события: auth_success или external_auth_success
  4. Используйте фильтр Создан для выбора диапазона дат

Анализ: Проверьте IP-адреса, время входов и методы аутентификации

🛡️ Мониторинг проблем с LDAP

Задача: Найти ошибки входа через LDAP/Active Directory

  1. Откройте журнал событий
  2. Установите фильтр Код события: external_auth_failure
  3. В фильтре Текст введите: LDAP или Домен
  4. Установите фильтр Результат: "Отказ"

Анализ: Проверьте причину отказов — недоступность домена или неверные учетные данные

🔑 Проверка событий 2FA

Задача: Найти проблемы с двухфакторной аутентификацией

  1. Откройте журнал событий
  2. В фильтре Код события введите: mfa_verification_failure
  3. Отсортируйте по Пользователю
  4. Ищите пользователей с множественными ошибками 2FA

Действия: Свяжитесь с пользователями, чтобы помочь настроить 2FA правильно

⏰ Поиск входов в необычное время

Задача: Найти успешные входы в нерабочее время

  1. Откройте журнал событий
  2. Установите фильтр Код события: auth_success
  3. Установите фильтр Результат: "Успех"
  4. Используйте фильтр даты для выбора ночного или выходного времени

Анализ: Проверьте, является ли вход легитимным или подозрительным

🌐 Мониторинг OAuth провайдеров

Задача: Проверить работу внешних провайдеров (Сбер, ЕСИА, VK, Яндекс)

  1. Откройте журнал событий
  2. Установите фильтр Код события: external_auth_failure
  3. В фильтре Текст введите название провайдера: Сбер, ЕСИА и т.д.

Анализ: Проверьте, нет ли массовых ошибок с конкретным провайдером

Рекомендации по безопасности

  • Регулярно проверяйте журнал — минимум раз в неделю просматривайте события аутентификации
  • Настройте алерты — если возможно, настройте уведомления при множественных неудачных попытках входа
  • Анализируйте IP-адреса — входы с незнакомых или иностранных IP должны вызывать подозрение
  • Проверяйте блокировки — убедитесь, что блокировки происходят по правильным причинам
  • Мониторьте внешнюю аутентификацию — убедитесь, что LDAP и OAuth-провайдеры работают стабильно
  • Обучайте пользователей — если видите много ошибок 2FA, проведите обучение пользователей
  • Архивируйте старые записи — периодически экспортируйте старые записи журнала для долгосрочного хранения
ℹ️ Связанные разделы

Обзор журнала событий — общая информация о журнале безопасности
Обзор 2FA — подробнее о двухфакторной аутентификации
Обзор методов аутентификации — все доступные методы входа
События управления — события создания и изменения пользователей
Поиск и фильтрация — эффективное использование фильтров журнала

✅ Готовы продолжить?

Теперь вы знаете, как интерпретировать события аутентификации. Переходите к разделу События управления, чтобы узнать о событиях создания, изменения и удаления пользователей, групп и других объектов.