Журнал аудита

Журнал аудита содержит записи о событиях безопасности в TDG.

Чтобы посмотреть журнал, нужно:

1. Сконфигурировать хотя бы один экземпляр с ролью storage.
2. Включить шардирование кнопкой Bootstrap vshard на вкладке Cluster.
3. Перейти на вкладку Audit log.

По умолчанию журнал аудита включен и ведется независимо от настроек авторизации.

Отключить ведение журнала аудита можно одним из способов ниже:

• на вкладке Audit log нажать кнопку Disable logging;

• на вкладке Settings > Audit logs отключить опцию Audit logging enabled. Доступно с версии 2.18.0;

• на вкладке Graphql выполнить следующий запрос:

   
  mutation {  audit_log {    config {      enabled(value: false)    }  }}

Чтобы проверить, включен ли журнал аудита, выполните следующий GraphQL-запрос:

 
query {  audit_log {    config {      enabled    }  }}

Журнал аудита хранится в memtx. Если явно задать время жизни для событий безопасности (опция remove_older_than_n_hours), события с истекшим сроком жизни в журнале будут очищаться автоматически. По умолчанию срок хранения событий в журнале аудита не ограничен.

Полностью очистить спейс с журналом аудита можно следующей командой GraphQL:

 
mutation {    audit_log {      clear    }  }

Каждая запись в таблице предоставляет следующую информацию о событии:

• Severity (Важность)
• From - To (С - По)
• Subject ID (ID субъекта)
• Subject (Субъект)
• Request ID (ID запроса)
• Module (Модуль)
• Node (Узел)
• Message (Сообщение)

По каждому из параметров журнал аудита можно фильтровать. Подробности о параметрах можно прочитать ниже.

Возможные значения (в порядке возрастания важности):

• VERBOSE - детальная информация;
• INFO - уведомление;
• WARNING - предупреждение;
• ALARM - тревога.

При фильтрации по параметру Severity будут отображаться события, уровень важности которых совпадает с выбранным или выше него. Чтобы показать все сообщения, выберите фильтр по параметру VERBOSE.

Дата и время события. По умолчанию время события отображается в часовом поясе GMT+0 (или UTC). Начиная с версии 2.15.0, в таблице при наведении курсора на время события отображается всплывающая подсказка с исходным временем, которое передал сервер.

Начиная с версии 2.17.0, задать часовой пояс можно в настройках на вкладке *Settings > Time Zone.

Внутренний идентификатор субъекта доступа.

Тип и наименование субъекта доступа. Возможные значения:

• system %q: системное сообщение, где %q - имя сущности в системе.
• token %q: доступ к HTTP API при помощи токена приложения (например, чтобы получить данные GraphQL), где %q - имя сущности, запросившей доступ.
• user: попытка доступа из GUI.
• anonymous: попытка доступа из GUI при отключённой обязательной "авторизации.
• unauthorized: попытка неавторизованного доступа из GUI.

Внутренний идентификатор запроса.

Имя модуля системы, инициировавшего событие. Пример: модуль common.admin.auth отвечает за авторизацию.

Доступно с версии 2.18.0.

Идентификатор экземпляра TDG, на котором произошло событие журнала аудита.

Описание события. Может быть пользовательским сообщением.

В файле config.yml находятся настройки по умолчанию, с которыми запускается Tarantool Data Grid. В этом файле конфигурации можно указать и настройки журнала аудита.

 
audit_log:  remove_older_than_n_hours: 24 # время жизни сообщения в часах  severity: VERBOSE # минимальный уровень важности записываемых событий  enabled: true

Список поддерживаемых опций конфигурации для журнала аудита приведен в справочнике по конфигурации.

В веб-интерфейсе задать настройки журнала аудита можно на вкладке Settings > Audit logs. С версии 2.18.0 доступны следующие настройки:

• флаг Audit logging enabled - включить или отключить ведение журнала аудита;
• Logging level - минимальный уровень важности записываемых событий;
• Remove entries older than (hours) - время жизни сообщения в часах.

Кнопка Clear audit log очищает журнал аудита.