Поиск и фильтрация журнала событий

ℹ️ О документе

В этом разделе описаны возможности поиска и фильтрации записей журнала событий безопасности. Система предоставляет множество критериев фильтрации для быстрого нахождения нужных событий.

Интерфейс фильтрации

Все фильтры расположены непосредственно в заголовках столбцов таблицы журнала событий. Это позволяет быстро применять фильтры без необходимости открывать дополнительные меню или диалоговые окна.

✅ Удобство использования

Фильтры применяются автоматически при вводе или выборе значений. Результаты обновляются мгновенно, что позволяет интерактивно исследовать журнал событий.

Фильтрация по дате

Фильтр по дате и времени находится в столбце "Создан". Он позволяет выбрать диапазон дат для отображения событий.

Использование фильтра по дате

  1. Нажмите на поле даты в заголовке столбца "Создан"
  2. Откроется календарь для выбора диапазона дат
  3. Выберите начальную дату (от какой даты показывать события)
  4. Выберите конечную дату (до какой даты показывать события)
  5. События будут отфильтрованы по выбранному периоду
ℹ️ Формат даты

Даты в журнале отображаются в формате: ДД.ММ.ГГГГ ЧЧ:ММ:СС, например 15.01.2024 14:30:45.

Фильтрация по приложению

Фильтр по приложению находится в столбце "Приложение". Он позволяет отфильтровать события, связанные с конкретным OIDC приложением или системой IAM.

Возможные значения

  • Любое — показывать события всех приложений и IAM
  • IAM — показывать только события самой системы IAM (управление пользователями, группами, настройки)
  • Конкретное приложение — показывать события, связанные с выбранным OIDC приложением

Использование фильтра по приложению

  1. Нажмите на выпадающий список в заголовке столбца "Приложение"
  2. Выберите нужное приложение из списка или оставьте "Любое"
  3. Журнал отфильтруется по выбранному приложению
⚠️ Важно

В списке отображаются только те приложения, для которых есть записи в журнале. Если приложение не использовалось, оно не появится в списке фильтра.

Фильтрация по пользователю

Фильтр по пользователю находится в столбце "Пользователь". Он позволяет найти все события, связанные с конкретным пользователем.

Использование фильтра по пользователю

  1. Введите имя пользователя (или его часть) в поле поиска в заголовке столбца "Пользователь"
  2. Поиск выполняется по частичному совпадению (можно ввести часть имени)
  3. Поиск не чувствителен к регистру
ℹ️ Системные действия

Некоторые события в журнале не связаны с конкретным пользователем и помечены как "Системное действие". Такие события выполняются автоматическими процессами системы.

Фильтрация по IP-адресу

Фильтр по IP-адресу находится в столбце "IP пользователя". Он позволяет отследить события, выполненные с конкретного IP-адреса.

Использование фильтра по IP

  1. Введите IP-адрес (или его часть) в поле поиска в заголовке столбца "IP пользователя"
  2. Поиск выполняется по частичному совпадению (можно ввести только начало IP-адреса)
  3. Например, введя 192.168, вы найдете все адреса, начинающиеся с этих цифр
🔍 Примеры поиска
  • 192.168.1 — найдет все IP вида 192.168.1.x
  • 10.0 — найдет все IP вида 10.0.x.x
  • 127.0.0.1 — найдет точное совпадение локального IP
📊 Анализ по IP

Фильтрация по IP полезна для:

  • Отслеживания действий с определенной рабочей станции
  • Выявления подозрительной активности с внешних IP
  • Аудита действий из конкретной сети

Фильтрация по коду события

Фильтр по коду события находится в столбце "Код события". Коды событий представляют собой строковые идентификаторы типа события.

Использование фильтра по коду

  1. Введите код события (или его часть) в поле поиска в заголовке столбца "Код события"
  2. Поиск выполняется по частичному совпадению
  3. Поиск не чувствителен к регистру

Основные коды событий

Код события Описание
auth_success Успешная аутентификация
auth_failure Неуспешная аутентификация
external_auth_success Успешная внешняя аутентификация
external_auth_failure Неуспешная внешняя аутентификация
mfa_verification_success MFA успешно подтверждена
mfa_verification_failure Ошибка подтверждения MFA
password_change_success Пароль успешно изменен
password_reset_requested Запрошен сброс пароля
account_lockout_admin Блокировка учетной записи администратором
account_unlock_admin Разблокировка учетной записи
user_management_success Успешное управление пользователями
session_management_success Успешное управление сессиями
ℹ️ Полный список кодов

Всего в системе используется 37 различных кодов событий. В таблице представлены наиболее часто встречающиеся. Полный список кодов можно увидеть, просматривая записи журнала.

Примеры поиска по коду

  • auth — найдет все события, связанные с аутентификацией (auth_success, auth_failure, external_auth_success и т.д.)
  • mfa — найдет все события, связанные с многофакторной аутентификацией
  • password — найдет все события, связанные с паролями
  • lockout — найдет все события блокировки аккаунтов
  • _success — найдет все успешные события (заканчивающиеся на _success)
  • _failure — найдет все неуспешные события (заканчивающиеся на _failure)

Фильтрация по тексту события

Фильтр по тексту события находится в столбце "Текст". Это самый гибкий фильтр, позволяющий искать события по любым словам в их описании.

Использование фильтра по тексту

  1. Введите ключевое слово или фразу в поле поиска в заголовке столбца "Текст"
  2. Поиск выполняется по частичному совпадению внутри текста события
  3. Поиск не чувствителен к регистру
  4. Можно искать по любой части текста

Примеры поиска по тексту

🔍 Поиск действий
  • создан — найти все события создания
  • удален — найти все события удаления
  • изменен — найти все события изменения
  • заблокирован — найти блокировки
📝 Поиск по объектам
  • пользователь — события с пользователями
  • группа — события с группами
  • приложение — события с приложениями
  • сессия — события с сессиями
🔐 Поиск по методам
  • LDAP — события связанные с LDAP
  • Сбер — вход через Сбер ID
  • ЕСИА — вход через Госуслуги
  • Telegram — вход через Telegram
👤 Поиск по именам

Вы можете искать события, связанные с конкретными пользователями, группами или приложениями, вводя их имена в текстовый поиск.

Фильтрация по результату

Фильтр по результату находится в столбце "Результат". Он позволяет отфильтровать события по успешности выполнения.

Возможные значения

  • Любой — показывать все события независимо от результата
  • Успех — показывать только успешно выполненные события (зеленая галочка)
  • Отказ — показывать только неуспешные события (красный крестик)

Использование фильтра по результату

  1. Нажмите на выпадающий список в заголовке столбца "Результат"
  2. Выберите нужное значение: Любой, Успех или Отказ
  3. Журнал отфильтруется по выбранному результату
✅ Успешные события

Фильтр "Успех" полезен для:

  • Аудита выполненных операций
  • Отслеживания успешных входов пользователей
  • Мониторинга нормальной работы системы
❌ Неуспешные события

Фильтр "Отказ" важен для:

  • Выявления попыток несанкционированного доступа
  • Диагностики проблем с аутентификацией
  • Обнаружения ошибок в работе системы
  • Поиска неправильных настроек

Сортировка записей

Все колонки таблицы журнала поддерживают сортировку. Это позволяет упорядочить события по любому критерию.

Использование сортировки

  1. Нажмите на заголовок любого столбца таблицы
  2. События будут отсортированы по этому столбцу в порядке возрастания
  3. Повторное нажатие изменит порядок на убывание
  4. Третье нажатие сбросит сортировку

Доступная сортировка

  • Создан — сортировка по дате и времени события (по умолчанию: от новых к старым)
  • Приложение — сортировка по названию приложения в алфавитном порядке
  • Пользователь — сортировка по имени пользователя в алфавитном порядке
  • IP пользователя — сортировка по IP-адресу
  • Код события — сортировка по коду события в алфавитном порядке
  • Текст — сортировка по тексту события в алфавитном порядке
  • Результат — сортировка по результату (Успех → Отказ → Не указано)
✅ Сортировка по умолчанию

По умолчанию журнал отсортирован по дате создания в порядке убывания (от новых к старым). Это позволяет видеть самые последние события в начале списка.

Комбинирование фильтров

Одна из самых мощных возможностей системы поиска — это комбинирование нескольких фильтров одновременно. Все фильтры работают совместно, сужая выборку событий.

Примеры комбинированного поиска

🔍 Пример 1: Неудачные попытки входа конкретного пользователя
  1. Пользователь: введите имя пользователя
  2. Код события: введите auth_failure
  3. Результат: выберите Отказ

Результат: все неудачные попытки входа этого пользователя

🔍 Пример 2: События MFA за определенный период
  1. Создан: выберите диапазон дат
  2. Код события: введите mfa

Результат: все события многофакторной аутентификации за выбранный период

🔍 Пример 3: Действия администратора с определенным приложением
  1. Приложение: выберите конкретное приложение
  2. Текст: введите администратор

Результат: действия администратора с выбранным приложением

🔍 Пример 4: Подозрительная активность с внешнего IP
  1. IP пользователя: введите внешний IP
  2. Результат: выберите Отказ
  3. Код события: введите auth

Результат: неудачные попытки аутентификации с указанного IP

Практические сценарии использования

Сценарий 1: Расследование инцидента безопасности

Задача: Обнаружены множественные неудачные попытки входа. Необходимо выяснить детали.

  1. Установите фильтр Результат в значение Отказ
  2. Введите в фильтр Код события значение auth_failure
  3. Отсортируйте по дате, чтобы увидеть последние попытки
  4. Проверьте IP-адреса в столбце IP пользователя
  5. Если обнаружен подозрительный IP, добавьте фильтр по IP
  6. Изучите все действия с этого IP-адреса

Сценарий 2: Аудит действий пользователя

Задача: Необходимо проверить все действия конкретного пользователя за последнюю неделю.

  1. Установите фильтр Создан на период последних 7 дней
  2. Введите в фильтр Пользователь имя нужного пользователя
  3. Просмотрите все события этого пользователя
  4. При необходимости отфильтруйте по конкретному типу событий

Сценарий 3: Диагностика проблем с приложением

Задача: Пользователи жалуются на проблемы с доступом к конкретному приложению.

  1. Выберите в фильтре Приложение проблемное приложение
  2. Установите фильтр Результат в значение Отказ
  3. Просмотрите события с ошибками
  4. Проверьте текст событий для понимания причины ошибок
  5. Обратите внимание на временные паттерны (когда происходят ошибки)

Сценарий 4: Подготовка отчета о соответствии

Задача: Необходимо предоставить отчет обо всех административных действиях за месяц.

  1. Установите фильтр Создан на нужный месяц
  2. Введите в фильтр Текст ключевые слова: создан, удален, изменен
  3. Или используйте фильтр Код события со значениями user_management, group_management и т.д.
  4. Экспортируйте или скопируйте нужные записи

Производительность и ограничения

Пагинация результатов

Результаты поиска выводятся постранично для обеспечения быстрой работы интерфейса:

  • По умолчанию на странице отображается 20 записей
  • Вы можете изменить количество записей на странице (10, 20, 50, 100, 200)
  • Максимальное количество записей на странице — 200
  • Для навигации используйте кнопки пагинации внизу таблицы
ℹ️ Счетчик записей

Внизу таблицы отображается общее количество найденных записей, соответствующих текущим фильтрам. Например: "Показано 1-20 из 156 записей".

Советы по эффективному поиску

⚡ Начинайте с широкого поиска

Если не уверены в точных параметрах, начните с одного-двух фильтров, а затем постепенно добавляйте дополнительные для уточнения результатов.

📅 Используйте фильтр по дате

Фильтрация по дате значительно сокращает количество обрабатываемых записей и ускоряет поиск. Всегда указывайте временной период, если он известен.

🔤 Регистр не важен

Все текстовые фильтры не чувствительны к регистру. Вы можете вводить текст в любом регистре — результаты будут одинаковыми.

🔍 Частичное совпадение

Большинство текстовых фильтров ищут по частичному совпадению. Это означает, что введя часть слова, вы найдете все записи, содержащие эту часть.

Сброс фильтров

Чтобы сбросить все примененные фильтры и вернуться к полному списку событий:

  1. Очистите каждое поле фильтра вручную (удалите введенный текст или выберите "Любой" в выпадающих списках)
  2. Или перезагрузите страницу журнала — это также сбросит все фильтры
⚠️ Фильтры не сохраняются

Текущие значения фильтров не сохраняются между сеансами работы. При выходе из журнала или перезагрузке страницы все фильтры будут сброшены.

Просмотр детальной информации

После применения фильтров и нахождения нужных записей вы можете просмотреть детальную информацию о каждом событии:

  1. Нажмите на любую строку в таблице журнала
  2. Откроется модальное окно с подробной информацией о записи
  3. В окне отображаются все поля события, включая полный текст
  4. Вы можете скопировать ID записи, ID пользователя или всю запись целиком
✅ Готовы к работе?

Теперь вы знаете все возможности поиска и фильтрации журнала событий. Используйте эти инструменты для эффективного аудита, мониторинга безопасности и диагностики проблем в вашей системе IDENTYX.