События управления

ℹ️ О разделе

В этом разделе описываются события управления, которые регистрируются при создании, изменении или удалении пользователей, групп, изменении паролей и управлении сессиями. Эти события помогают отслеживать все административные действия в системе.

Обзор событий управления

События управления регистрируются каждый раз, когда администратор или пользователь выполняет действия по изменению данных в системе IDENTYX. Это включает создание новых пользователей, изменение их параметров, управление группами, сменy паролей и управление сессиями.

Основные категории событий управления:

  • Управление пользователями — создание, изменение, удаление пользователей
  • Управление группами — создание, изменение, удаление групп
  • Управление сессиями — выход из системы, принудительное завершение сессий
  • Управление паролями — смена и сброс паролей
  • Блокировка учетных записей — ручная блокировка и разблокировка администратором

События управления пользователями

Все действия по созданию, изменению и удалению пользователей регистрируются в журнале с подробной информацией.

Коды событий

Код Название Описание
103 user_management Управление пользователями (общее событие)
136 user_management_success Успешное управление пользователями
137 user_management_failure Ошибка управления пользователями

Создание пользователя

Код события: 136 (user_management_success)

Когда регистрируется:

  • Администратор создал нового локального пользователя через интерфейс
  • Пользователь был автоматически создан при первом входе через внешнюю систему
  • Пользователь был импортирован из LDAP

Примеры описания событий:

Добавлен пользователь ID: {550e8400-e29b-41d4-a716-446655440000}, Имя: Иванов Иван Иванович
Пользователь автоматически создан при первой аутентификации в системе через Сбер ID
Пользователь автоматически создан при первой аутентификации в системе через LDAP
Пользователь автоматически создан при первой аутентификации в системе через Telegram
Пользователь автоматически создан при первой аутентификации в системе через ЕСИА
Пользователь автоматически создан при первой аутентификации в системе через Яндекс ID
Пользователь автоматически создан при первой аутентификации в системе через VK
Пользователь автоматически создан при первой аутентификации в системе через электронную подпись

Что содержит запись:

  • ID пользователя — уникальный идентификатор созданного пользователя
  • Имя пользователя — отображаемое имя
  • Метод создания — вручную администратором или автоматически через внешнюю систему
  • Инициатор — кто создал пользователя (администратор или система)
  • Результат — ✅ "Успех"
ℹ️ Автоматическое создание

Когда пользователь впервые входит через внешнюю систему (Сбер ID, ЕСИА, LDAP, Telegram и т.д.), IDENTYX может автоматически создать для него учетную запись. Это событие также регистрируется в журнале с указанием метода аутентификации.

Изменение пользователя

Код события: 136 (user_management_success)

Когда регистрируется:

  • Администратор изменил данные пользователя (имя, email, username)
  • Пользователь самостоятельно изменил свои данные в профиле
  • Пользователь был добавлен в организации
  • Пользователь подтвердил свою почту

Примеры описания событий:

Изменен пользователь ID: 550e8400-e29b-41d4-a716-446655440000, Имя: Иванов Иван Иванович
Пользователь добавлен в организации: Отдел разработки, IT департамент
Пользователь подтвердил свою почту
Пользователь очистил ожидающую подтверждения почту
Пользователь деактивировал ссылки подтверждения почты
Пользователь удалил свою электронную почту

Что содержит запись:

  • ID пользователя — какой пользователь был изменен
  • Имя пользователя — текущее отображаемое имя
  • Детали изменения — что именно было изменено
  • Инициатор — кто выполнил изменение (администратор или сам пользователь)
  • Результат — ✅ "Успех"

Удаление пользователя

Код события: 136 (user_management_success)

Когда регистрируется:

  • Администратор удалил пользователя из системы

Пример описания события:

Удален пользователь ID: 550e8400-e29b-41d4-a716-446655440000, Имя: Иванов Иван Иванович

Что содержит запись:

  • ID удаленного пользователя — кто был удален
  • Имя удаленного пользователя — отображаемое имя до удаления
  • Инициатор — администратор, который выполнил удаление
  • Результат — ✅ "Успех"
⚠️ Важно

После удаления пользователя все связанные с ним данные могут быть удалены, но запись в журнале сохраняется навсегда для аудита. Восстановить удаленного пользователя можно только через резервную копию базы данных.

Массовый импорт пользователей

Код события: 136 (user_management_success)

Когда регистрируется:

  • Администратор выполнил массовый импорт пользователей из LDAP
  • Пользователи были автоматически добавлены в группы при импорте
  • Пользователи были автоматически добавлены в организации при импорте

Примеры описания событий:

Пользователь автоматически добавлен в группу 123:Сотрудники при первой аутентификации в системе через Сбер ID
Пользователь автоматически добавлен в организации при первой аутентификации в системе через LDAP
Пользователь автоматически добавлен при массовом импорте из LDAP
Пользователь автоматически добавлен в группу 456:Администраторы при массовом импорте из LDAP

Что содержит запись:

  • ID пользователя — кто был импортирован
  • Источник импорта — из какого LDAP домена
  • Группы — в какие группы был автоматически добавлен
  • Организации — в какие организации был добавлен
  • Результат — ✅ "Успех"

События управления группами

Все действия по созданию, изменению и удалению групп регистрируются в журнале.

Коды событий

Код Название Описание
104 group_management Управление группами

Создание группы

Код события: 104 (group_management)

Когда регистрируется:

  • Администратор создал новую локальную группу
  • Группа была создана во время установки системы

Пример описания события:

Добавлена группа ID: 123, Имя: Сотрудники отдела разработки

Что содержит запись:

  • ID группы — уникальный идентификатор созданной группы
  • Название группы — отображаемое название
  • Инициатор — администратор, который создал группу
  • Результат — обычно не указывается для этого типа события

Изменение группы

Код события: 104 (group_management)

Когда регистрируется:

  • Администратор изменил название группы
  • Изменены права доступа группы
  • Изменены права специальной системной группы "Все"
  • Изменен состав участников группы

Примеры описания событий:

Изменена группа ID: 123, Имя: Сотрудники отдела разработки
Изменены права специальной группы "Все" (ID: 1)

Что содержит запись:

  • ID группы — какая группа была изменена
  • Название группы — текущее название
  • Детали изменения — что именно было изменено (если указано)
  • Инициатор — администратор, который выполнил изменение
  • Результат — обычно не указывается
ℹ️ Специальная группа "Все"

Системная группа "Все" содержит всех пользователей системы автоматически. Эту группу нельзя удалить, но можно изменить ее права доступа. Такие изменения специально отмечаются в журнале отдельным событием.

Удаление группы

Код события: 104 (group_management)

Когда регистрируется:

  • Администратор удалил группу

Пример описания события:

Удалена группа ID: 123, Имя: Временная группа

Что содержит запись:

  • ID удаленной группы — какая группа была удалена
  • Название удаленной группы — название до удаления
  • Инициатор — администратор, который удалил группу
  • Результат — обычно не указывается

События управления сессиями

События управления сессиями регистрируют выход пользователей из системы и принудительное завершение сессий администратором.

Коды событий

Код Название Описание
107 session_management Управление сессиями (общее событие)
138 session_management_success Успешное управление сессиями
139 session_management_failure Ошибка управления сессиями

Выход из системы

Код события: 107 (session_management)

Когда регистрируется:

  • Пользователь нажал кнопку "Выход" в интерфейсе
  • Пользователь вышел из системы через OIDC приложение

Примеры описания событий:

Пользователь вышел из системы

Что содержит запись:

  • Имя пользователя — кто вышел из системы
  • IP-адрес — с какого адреса был выход
  • Время — когда произошел выход
  • Результат — обычно не указывается

Закрытие сессии при превышении лимита

Код события: 107 (session_management)

Когда регистрируется:

  • Пользователь открыл новую сессию, превысив максимально разрешенное количество
  • Система автоматически закрыла самую старую сессию

Примеры описания событий:

Закрыта сессия 550e84****440000, так как превышен лимит возможных сессий для IAM
Закрыта сессия 660e95****550111, так как превышен лимит возможных сессий приложения Портал сотрудников

Что содержит запись:

  • ID сессии (замаскированный) — какая сессия была закрыта (середина ID скрыта звездочками)
  • Причина закрытия — превышение лимита для IAM или конкретного приложения
  • ID пользователя — чья сессия была закрыта
  • Результат — обычно не указывается
ℹ️ Маскирование ID сессий

В журнале ID сессий частично маскируются звездочками (например, 550e84****440000) для безопасности. Это предотвращает использование полного ID сессии для несанкционированного доступа, если журнал попадет в чужие руки.

События управления паролями

События управления паролями регистрируют смену, сброс и истечение паролей.

Коды событий

Код Название Описание
109 password_management Управление паролями (общее событие)
123 password_reset_requested Запрошен сброс пароля
124 password_reset_success Пароль успешно сброшен
125 password_reset_failure Ошибка сброса пароля
126 password_change_success Пароль успешно изменен
127 password_change_failure Ошибка изменения пароля

Смена пароля

Код события: 126 (password_change_success) или 127 (password_change_failure)

Когда регистрируется:

  • Пользователь изменил свой пароль в профиле
  • Администратор изменил пароль пользователя
  • Попытка изменения пароля закончилась ошибкой

Примеры описания событий:

Пользователь изменил свой пароль: ivanov
Попытка смены пароля закончилась неудачей. Логин: ivanov

Что содержит запись:

  • Логин пользователя — чей пароль был изменен
  • ID пользователя — внутренний идентификатор
  • Результат — ✅ "Успех" или ❌ "Отказ"
  • IP-адрес — с какого адреса выполнялась смена

Истечение срока действия пароля

Код события: 109 (password_management)

Когда регистрируется:

  • Пользователь пытался войти в систему
  • Срок действия его пароля истек согласно политике безопасности
  • Система установила флаг "Требовать смену пароля при входе"

Пример описания события:

Срок действия пароля истек. Пользователь должен поменять пароль при входе.

Что содержит запись:

  • ID пользователя — у кого истек пароль
  • Причина — истечение срока действия
  • Результат — обычно не указывается
⚠️ Политика паролей

Если в настройках системы установлен параметр "Требовать смену пароля с заданной периодичностью" (например, каждые 90 дней), то при попытке входа после истечения срока пользователю будет предложено сменить пароль. Это событие регистрируется в журнале.

События блокировки администратором

Когда администратор вручную блокирует или разблокирует пользователя, это также регистрируется в журнале.

Коды событий

Код Название Описание
128 account_lockout_admin Блокировка учетной записи администратором
129 account_unlock_admin Разблокировка учетной записи администратором
ℹ️ Примечание

Эти события описаны в разделе События аутентификации, так как они связаны с безопасностью входа в систему. Ручная блокировка администратором отличается от автоматической блокировки при превышении попыток ввода пароля или неактивности.

Другие события управления

Кроме основных категорий, существуют и другие типы событий управления:

🔐 Управление правами

Коды событий:

  • 105 — Управление ролями
  • 106 — Управление разрешениями

Когда регистрируются:

  • Назначение прав доступа пользователю или группе
  • Изменение ACL правил
  • Назначение ролей
⚙️ Системные настройки

Код события: 108 — system_settings

Когда регистрируется:

  • Изменение параметров системы
  • Настройка безопасности
  • Изменение интеграций с внешними провайдерами
  • Настройка SMTP для email
🛠️ Действия администратора

Код события: 111 — admin_action

Когда регистрируется:

  • Специальные административные операции
  • Добавление первого администратора через консоль
  • Изменение критических настроек

Пример:

Добавлен новый администратор IAM через глобальную консольную команду 'identyx'
🔍 Проверка прав

Код события: 102 — check_permission

Когда регистрируется:

  • Система проверила наличие прав у пользователя
  • Проверка доступа к конкретному действию

Обычно это событие используется для отладки и не регистрируется в production для экономии места в журнале.

Просмотр событий управления в журнале

Чтобы найти события управления в журнале:

  1. Перейдите в раздел Журнал событий
  2. В столбце "Код события" используйте фильтр для поиска конкретных кодов
  3. Для поиска событий управления пользователями введите: user_management
  4. Для поиска событий управления группами введите: group_management
  5. Для поиска событий управления сессиями введите: session_management
  6. Для поиска событий управления паролями введите: password_management
  7. Используйте фильтр "Пользователь" для поиска действий конкретного администратора
  8. Используйте фильтр "Текст" для поиска по описанию события (например, "Создан", "Изменен", "Удален")
✅ Совет

Чтобы увидеть все административные действия конкретного администратора, отфильтруйте по его имени в столбце "Пользователь" и дополнительно установите фильтр по кодам событий управления. Это покажет полную картину его активности.

Типичные сценарии использования

📊 Аудит действий администратора

Задача: Проверить все действия конкретного администратора за период

  1. Откройте журнал событий
  2. В фильтре Пользователь введите имя администратора
  3. Установите фильтр Создан для выбора диапазона дат
  4. Просмотрите все события создания, изменения и удаления

Анализ: Убедитесь, что администратор не превышал свои полномочия

🔍 Отслеживание изменений пользователя

Задача: Узнать, кто и когда изменял конкретного пользователя

  1. Откройте журнал событий
  2. В фильтре Текст введите ID или имя пользователя
  3. Установите фильтр Код события: user_management
  4. Просмотрите хронологию изменений

Анализ: Определите, кто и какие изменения вносил в учетную запись

👥 Мониторинг создания пользователей

Задача: Найти всех пользователей, созданных через автоматическую регистрацию

  1. Откройте журнал событий
  2. Установите фильтр Код события: user_management_success
  3. В фильтре Текст введите: автоматически создан
  4. Дополнительно фильтруйте по провайдеру: Сбер ID, LDAP и т.д.

Анализ: Оцените, сколько пользователей было создано автоматически

🚪 Анализ выходов из системы

Задача: Проверить, как часто закрываются сессии из-за превышения лимита

  1. Откройте журнал событий
  2. Установите фильтр Код события: session_management
  3. В фильтре Текст введите: превышен лимит
  4. Просмотрите, у каких пользователей часто закрываются сессии

Действия: Возможно, стоит увеличить лимит сессий для некоторых пользователей

🔒 Контроль изменений паролей

Задача: Найти всех пользователей, у которых недавно менялся пароль

  1. Откройте журнал событий
  2. Установите фильтр Код события: password_change_success
  3. Используйте фильтр Создан для выбора периода
  4. Просмотрите список пользователей

Анализ: Убедитесь, что пользователи регулярно меняют пароли

📝 История изменений группы

Задача: Узнать историю изменений конкретной группы

  1. Откройте журнал событий
  2. Установите фильтр Код события: group_management
  3. В фильтре Текст введите ID или название группы
  4. Просмотрите все события создания, изменения и удаления

Анализ: Отследите, когда и кем менялись права группы или ее состав

Рекомендации по работе с событиями управления

  • Регулярный аудит — проверяйте журнал минимум раз в неделю на предмет подозрительных административных действий
  • Контроль создания пользователей — следите за тем, чтобы новые пользователи создавались только легитимными администраторами
  • Мониторинг удалений — удаление пользователей или групп должно быть обоснованным и согласованным
  • Проверка изменений прав — критически важно отслеживать изменения в правах доступа, особенно для административных групп
  • Анализ паролей — убедитесь, что пользователи регулярно меняют пароли согласно политике
  • Контроль сессий — если часто закрываются сессии из-за превышения лимита, возможно, стоит пересмотреть настройки
  • Документирование изменений — для важных административных действий ведите дополнительную документацию с обоснованием
⚠️ Безопасность

События управления критически важны для безопасности системы. Несанкционированное создание пользователей, изменение прав или удаление групп может указывать на компрометацию учетной записи администратора. При обнаружении подозрительных действий немедленно проверьте учетную запись администратора и смените его пароль.

Детали записей событий управления

Каждое событие управления содержит следующую информацию:

Поле Описание Пример
Дата и время Точное время выполнения действия 2024-01-15 14:32:15
Приложение Всегда "IAM" для событий управления IAM
Пользователь Администратор или пользователь, выполнивший действие Администратор Системы
IP-адрес С какого адреса выполнялось действие 192.168.1.100
Код события Технический код типа события user_management_success
Описание Детальное описание с ID объектов и их названиями Изменен пользователь ID: 123, Имя: Иванов И.И.
Результат Успешность операции (для некоторых событий) Успех, Отказ, Не указано
ℹ️ Связанные разделы

Обзор журнала событий — общая информация о журнале безопасности
События аутентификации — события входа в систему и блокировки
Локальные пользователи — как управлять пользователями через интерфейс
Локальные группы — как управлять группами через интерфейс
Поиск и фильтрация — эффективное использование фильтров журнала

✅ Готовы продолжить?

Теперь вы знаете, как интерпретировать события управления пользователями, группами, сессиями и паролями. Переходите к разделу Поиск и фильтрация, чтобы научиться эффективно использовать все возможности журнала для быстрого поиска нужных событий.