Аудит действий пользователей#
Все действия пользователей записываются в журнал событий модуля, обеспечивающего
выполнение функционала Angie ADC (команда просмотра adc-server),
и имеют помету audit.
При отправке на syslog-сервер события аудита помечаются
с помощью пользовательской категории facility=local4 (в соответствии с RFC 3164).
Вы можете настроить фильтрацию по facility=local4 на своем syslog-сервере
для обработки только аудит-логов.
В сообщениях аудита выводятся следующие поля:
actor_auth_source— тип аутентификации пользователя, например локальная или RADIUS.actor_host— IP-адрес клиента.actor_id— идентификатор пользователя, инициировавшего событие.actor_name— имя пользователя, инициировавшего событие.app— имя устройства, на котором произошло событие.client_channel— канал взаимодействия, например веб-консоль, CLI или межсервисный вызов.duration_ms— время выполнения операции в миллисекундах.level— уровень критичности события: всегдаINFO(информационное событие).msg— тип события: всегдаaudit(аудит действий пользователя).mutating— изменяет ли выполняемая операция систему (true,false).operation— выполняемая операция, напримерread,update,delete.resource— категория объекта, к которому относится операция.resource_id— идентификатор конкретного экземпляра объекта, если применимо.result— результат выполнения (OK,InvalidArgument).rid— идентификатор запроса (request ID), связывающий события одной операции.stage— стадия выполнения операции:pre— намерение выполнить действие,post— результат выполнения.time— время фиксации события.