О сервисе
Сервис аудита (услуга 1.15) предназначен для регистрации и протоколирования в формализованном виде действий пользователей при работе в автоматизированных системах. Сервис предоставляет единый пользовательский интерфейс (UI) для просмотра и работы с зарегистрированными событиями при расследовании инцидентов.
На архитектурном уровне сервис можно представить как клиент-серверную систему. В целевом приложении (приложение-клиент) подключается клиентская библиотека сервиса и настраивается структура сообщений, которые будут отправляться этим приложением — метамодель Аудита.
В метамодель Аудита входят события, которые необходимо отслеживать, и операции (объекты группировки для событий), упрощающие работу сотрудников департамента безопасности (ДБ) с журналом событий.
Сервис сохраняет отправленные сообщения в долговременном хранилище. Недавние сообщения (как правило за последние 3 месяца, однако конкретные сроки зависят от требований к целевому приложению) также индексируются в журнал событий, который можно просмотреть через UI сервиса Аудит в браузере. Для просмотра более ранних записей можно воспользоваться инструментами СУБД, используемой для хранения сообщений.
Для обеспечения отказоустойчивости и возможности масштабирования все компоненты сервиса организованы с использованием подхода кластеризации.
- прием и хранение событий безопасности, возникающих в процессе функционирования компонентов Платформы и прикладных приложений, написанных на ее базе;
- просмотр агрегированных событий безопасности (в пользовательском интерфейсе) уполномоченными пользователями;
- подготовка отчётов на основании информации обо всех собранных событиях безопасности, возникающих в процессе функционирования Платформы и прикладных решений.
Минимальная конфигурация Сервиса обеспечивает:
-
глубина хранения данных — не менее 92 суток. Необходимо обеспечить объем дискового пространства для хранения данных за требуемый период;
-
SOLR: глубина хранения индекса — 10 дней;
-
HBASE:
- глубина хранения — не ограничено (при наличии свободного дискового пространства);
- максимальный размер файла региона (параметр
Maximum Region File size) — 10 Gb; - период между процедурой Compaction (параметр
Major Compaction Interval) — 7 дней; - максимальное количество файлов до процедуры Compaction (параметр
Maximum Store Files before Minor Compaction) — 3.
-
HDFS:
- глубина хранения — не ограничено (при наличии свободного дискового пространства);
- фактор репликации — 3 (3 реплики всего);
- размер блока — 128 Mb.
В демопримерах реализованы стандартные сценарии, демонстрирующие работу отдельных сервисов Платформы ГосТех. Отправка тестовых запросов в демопримерах позволит вам ознакомиться с функциями того или иного сервиса. Доступные демопримеры и описания реализованной в них функциональности представлены ниже.
Аудит
Отправка произведённых в системе событий с уникальными идентификаторами и настраиваемым набором параметров