Как работают журналы аудита
Журналы аудита это функция тарифа Apex для организаций, которым нужна отслеживаемость: долговечная, доступная только для чтения запись о том, кто что изменил и когда, за которую ты можешь отвечать спустя долгое время и вручить аудитору. Они отслеживают изменения конфигурации и доступа, а не трафик посетителей, для которого нужна статистика.
Три уровня
Caputchin ведёт журналы аудита на трёх независимых уровнях, каждый с охватом до своей собственной тенантности. Ты читаешь уровень, который соответствует отслеживаемому изменению, и у каждого своя страница в панели и свой справочник здесь.
| Уровень | Где он живёт | Справочник |
|---|---|---|
| Аккаунт | Настройки аккаунта | Журнал аккаунта |
| Команда | Собственная страница команды | Журнал команды |
| Ключ сайта | Собственная страница ключа сайта | Журнал ключа сайта |
Удаление записывается на уровень выше удалённой вещи: удаление ключа сайта приземляется в журнал команды, а удаление команды приземляется в журнал аккаунта. Это намеренно, потому что удаление чего-либо уносит его собственный журнал с собой (мягкого удаления нет), так что запись об удалении должна жить на выжившем родителе. Всё остальное, включая создание каждой вещи, живёт на своём собственном уровне.
Что показывает каждая запись
Каждая запись это одно действие и захватывает достаточно, чтобы ответить «кто что сделал, когда и сработало ли это»:
- Кто: человек или токен за действием и действовали ли они через сессию панели или персональный токен доступа. Действия, предпринятые поддержкой Caputchin под доступом поддержки, появляются под их собственной личностью.
- Что: действие, вещь, которой оно коснулось, и сводка изменения, включая до-и-после для правок конфигурации.
- Исход: удалось или было отказано, с причиной при отказе. Заблокированная попытка тоже в записи, что часто более интересная половина расследования.
- Когда: отметка времени плюс id запроса, который ты можешь процитировать поддержке или сопоставить со своими собственными логами.
Нахождение нужного
Загруженный журнал становится длинным, так что панель фильтрует его одинаково на каждом уровне:
- По действию, чтобы увидеть только один вид изменения.
- По кому: ищи человека или токен по имени или сузь до сессий панели против персональных токенов доступа.
- По цели, чтобы проследить изменения одной конкретной вещи.
- По дате, чтобы ограничить расследование окном.
- Отказанные попытки: журнал показывает успешные действия по умолчанию; перекинь переключатель, чтобы включить те, что были заблокированы.
Экспорт
Ты можешь скачать текущее представление как CSV или JSON. Файл назван по охвату и времени, когда он был взят. CSV открывается прямо в таблице и это обычный способ вручить доказательства аудитору; JSON лучше подходит для подачи записей в твою собственную оснастку или SIEM.
Хранение
Записи хранятся два года, затем удаляются автоматически. Экспортируй всё, что нужно сохранить дольше. Если аккаунт покидает Apex, его журналы перестают быть доступными вместе с остальными функциями Apex, так что сначала экспортируй, если они тебе нужны.
См. также
- Журнал аккаунта: общеаккаунтные входы, токены, оплата и тариф.
- Журнал команды: участники, настройки команды и удаление ключа сайта.
- Журнал ключа сайта: жизненный цикл и конфигурация одного ключа.