Логирование событий аудита

VMmanager 6 сохраняет информацию о работе служб в лог-файлы (журнальные файлы, журналы). Вы можете просматривать лог-файлы каждой из служб отдельно или группировать их.

Лог-файлы служб аудита содержат информацию о событиях безопасности платформы и изменениях в её конфигурации. Например:

попытках входа в систему с помощью email и пароля;
попытках сброса пароля;
попытках входа в систему через LDAP;
создании, удалении и редактировании пользователей платформы;
изменении прав доступа у пользователей платформы.

Запись каждого события содержит:

уникальный порядковый номер;
дату и время события;
тип события;
информацию об успешности действия.

Если действие совершает авторизованный пользователь, то в логе отображается идентификатор пользователя.

Логи событий аудита защищены от удаления и редактирования. Удаление или изменение логов через API и веб-интерфейс платформы не поддерживается.

Подготовка сервера платформы

Платформа хранит лог-файлы служб аудита в контейнерах auth, ldap и vm_box. Для объединения записей аудита в один поток вы можете настроить логирование в службе journald:

Подключитесь к серверу с платформой по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.

Создайте файл патча /opt/ispsystem/vm/journald.yaml с содержимым:

version: "3.5"
services:
  auth_back4:
    volumes: 
    - /var/run/systemd/journal/:/var/run/systemd/journal/
  ldap:
    volumes:
    - /var/run/systemd/journal/:/var/run/systemd/journal/
  vm_box:
    volumes:
    - /opt/ispsystem/vm/backup:/opt/ispsystem/vm/backup
    - /opt/ispsystem/license:/opt/ispsystem/license
    - /opt/ispsystem/vm/socket/:/opt/ispsystem/vm/vmbox/
    - /var/run/systemd/journal/:/var/run/systemd/journal/

Примените патч:

vm add-patch -p journald -f /opt/ispsystem/vm/journald.yaml

Для чтения логов в формате JSON установите утилиту jq:
```
apt install jq || dnf install jq
```

Просмотр логов событий аудита

Чтобы просмотреть логи служб аудита, введите команду:

контейнеры auth, ldap (сервисы auth_back4, ldap):
Построчный вывод
```
journalctl -f ACOD=3
```
Вывод в формате JSON
```
journalctl -f -o json ACOD=3 | jq
```
контейнер vm_box (сервисы vm_back, gosockify):
Построчный вывод
```
journalctl | grep vm_security
```
Вывод в формате JSON
```
journalctl -f -o json | grep vm_security | jq
```

Примеры вывода

Передача логов в сторонние сервисы

С помощью службы syslog-ng можно настроить передачу логов в сторонний сервис для их хранения и просмотра.

Архив syslog_logs.tar.gz содержит примеры конфигурационных файлов для передачи логов в журнал системных событий fly-event-viewer ОС Astra Linux:

конфигурационный файл /etc/syslog-ng/conf.d/vmmanager.conf;
описания событий безопасности VMmanager /usr/share/syslog-ng-mod-astra/event-settings/.

На основе этих примеров вы можете создать конфигурации для вашего сервиса. Подробнее см. в документации syslog-ng.

Пример настройки

Инструкция применима, если вы планируете просматривать логи в журнале fly-event-viewer на сервере с платформой. Для передачи логов на другой сервер потребуется изменить конфигурацию syslog-ng.

Скачайте архив:

curl https://ru.download.ispsystem.com/extras/vmmanager/syslog_logs.tar.gz

Распакуйте архив:
```
sudo tar xzf syslog_logs.tar.gz -C /
```
Файлы архива скопируются в нужные директории.
Перезапустите службу syslog-ng:
```
sudo systemctl restart syslog-ng
```

Может быть полезно

Связанные статьи:

Лог-файлы платформы