Журналы аудита
Управление журналами аудита
Журналы аудита располагаются в директории, указанной в настройках контейнера, в файле docker-compose.yml. По умолчанию:
/opt/apphub/logs/core/hub-core-audit.log
События аудита
Событие аудита возникает при значимом изменении состояния AppSec.Hub. Перечень всех событий и их описание представлены в разделе «Приложение. Список событий аудита».
Формат лога представлен ниже.
{"createTs":"2021-03-10T07:29:01GMT+03:00", \
"sessionCode":284514074, \
"eventInitiator":"iivanov", \
"eventType":"authentication.login", \
"eventResult":"success", \
"eventData":null, \
"eventObject":null, \
"httpMethod":"POST", \
"requestUri":"/hub/rest/auth/login", \
"userAgent":"Mozilla/5.0(Windows NT 10.0; Win64; x64) \
AppleWebKit/537.36 (KHTML, like Gecko) \
Chrome/89.0.4389.82 Safari/537.36", \
"remoteAddress":"172.20.0.3"}
Параметры, представленные в каждой записи.
Параметр | Описание | Пример |
---|---|---|
createTs |
Дата/время события в формате ISO 8601 | 2021-02-04T00:35:07+03:00 |
eventInitiator |
УЗ пользователя, который инициировал данное событие, либо UNKNOWN в случае события, которое не требует аутентификации | hubadm |
remoteAddr |
(Опционально) IP адрес клиента, откуда был получен запрос, которые привел к появлению данного события | 172.20.0.3 |
eventObject |
(Опционально) Детали объекта, над которым было совершено действие, приведшее к появлению данного события. К примеру, если Аудитор ИБ запустил экспорт пайплайна в инструмент CI, то в eventObject будут указаны детали этого пайплайна. Другой пример, Администратор сбрасывает пароль УЗ. В этом случае eventObject будет содержать детали этой УЗ |
{ "id": 123, "type": "pipeline" } или { "id": 12, "type": "user", "login": "iivanov" } |
eventType |
Тип события, полный список указан в «Приложение. Список событий аудита» | authentication.login |
eventResult |
Результат выполненной операции. Допустимые значения: – success — операция завершена успешно; – fail — в процессе выполнения произошла ошибка, смотри подробности в eventData |
success |
httpMethod |
(Опционально) Наименование метода HTTP запроса, который привел к появлению данного события | POST |
uri |
(Опционально) URI (относительный путь) запроса HTTP, который привел к появлению данного события | /auth/login |
userAgent |
(Опционально) Значение заголовка User-Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0 |
sessionCode |
Числовой идентификатор пользовательской сессии (не может быть использован для аутентификации), либо UNKNOWN в случае события, которое не требует аутентификации | 484223443 |
applicationId |
(Опционально) Внутренний ID приложения (АС), с которым связано данное событие | 123 |
eventData |
(Опционально) Дополнительная информация о событии (в формате ключ-значение): – error — текст ошибки, в случае если eventResult имеет значение fail ;– changes — детали события изменения;– argument — дополнительная информация:– id — идентификатор объекта;– type — тип объекта;– name — имя объекта;– ip — IP-адрес, если объект трекер, сканер и т. д.– и т. д. |
{ "error": "Bad credentials" } или { "argument": { "id": 23, "type": "jira", "name": "jira_testing", "ip": "123.123.123.123"} |