Перейти к содержанию

Журналы аудита

Управление журналами аудита

Журналы аудита располагаются в директории, указанной в настройках контейнера, в файле docker-compose.yml. По умолчанию:

/opt/apphub/logs/core/hub-core-audit.log

События аудита

Событие аудита возникает при значимом изменении состояния AppSec.Hub. Перечень всех событий и их описание представлены в разделе «Приложение. Список событий аудита».

Формат лога представлен ниже.

{"createTs":"2021-03-10T07:29:01GMT+03:00", \
"sessionCode":284514074, \
"eventInitiator":"iivanov", \
"eventType":"authentication.login", \
"eventResult":"success", \
"eventData":null, \
"eventObject":null, \
"httpMethod":"POST", \
"requestUri":"/hub/rest/auth/login", \
"userAgent":"Mozilla/5.0(Windows NT 10.0; Win64; x64) \
AppleWebKit/537.36 (KHTML, like Gecko) \
Chrome/89.0.4389.82 Safari/537.36", \
"remoteAddress":"172.20.0.3"}

Параметры, представленные в каждой записи.

Параметр Описание Пример
createTs Дата/время события в формате ISO 8601 2021-02-04T00:35:07+03:00
eventInitiator УЗ пользователя, который инициировал данное событие, либо UNKNOWN в случае события, которое не требует аутентификации hubadm
remoteAddr (Опционально) IP адрес клиента, откуда был получен запрос, которые привел к появлению данного события 172.20.0.3
eventObject (Опционально) Детали объекта, над которым было совершено действие, приведшее к появлению данного события.
К примеру, если Аудитор ИБ запустил экспорт пайплайна в инструмент CI, то в eventObject будут указаны детали этого пайплайна.
Другой пример, Администратор сбрасывает пароль УЗ. В этом случае eventObject будет содержать детали этой УЗ
{ "id": 123, "type": "pipeline" }
или
{ "id": 12, "type": "user", "login": "iivanov" }
eventType Тип события, полный список указан в «Приложение. Список событий аудита» authentication.login
eventResult Результат выполненной операции.
Допустимые значения:
– success — операция завершена успешно;
– fail — в процессе выполнения произошла ошибка, смотри подробности в eventData
success
httpMethod (Опционально) Наименование метода HTTP запроса, который привел к появлению данного события POST
uri (Опционально) URI (относительный путь) запроса HTTP, который привел к появлению данного события /auth/login
userAgent (Опционально) Значение заголовка User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0
sessionCode Числовой идентификатор пользовательской сессии (не может быть использован для аутентификации), либо UNKNOWN в случае события, которое не требует аутентификации 484223443
applicationId (Опционально) Внутренний ID приложения (АС), с которым связано данное событие 123
eventData (Опционально) Дополнительная информация о событии (в формате ключ-значение):
error — текст ошибки, в случае если eventResult имеет значение fail;
changes — детали события изменения;
argument — дополнительная информация:
 – id — идентификатор объекта;
 – type — тип объекта;
 – name — имя объекта;
 – ip — IP-адрес, если объект трекер, сканер и т. д.
 – и т. д.
{ "error": "Bad credentials" }
или
{ "argument": { "id": 23, "type": "jira", "name": "jira_testing", "ip": "123.123.123.123"}
К началу