Модель события аудита

Модель события аудита предназначена для хранения событий сервиса аудита.

Сервис аудита позволяет собирать, анализировать и хранить данные о действиях пользователей и событиях в системе. Он обеспечивает контроль за безопасностью системы, позволяя обнаруживать возможные угрозы или нарушения безопасности и реагировать на них.

С помощью сервиса аудита можно фиксировать такие действия, как входы в систему, создание, удаление и изменение ресурсов системы и конфигурации ее отдельных компонентов. Каждое действие фиксируется в виде события аудита и сохраняется в специальное системное хранилище. События аудита доступны для просмотра в разделе Поиск.

Модель события аудита является встроенной системной моделью и недоступна для изменения или удаления. Она отображается в разделе Ресурсы → Модели событий.

При необходимости вы можете создать собственную (пользовательскую) модель события на базе системной модели события аудита.

Поля модели события аудита

Система заполняет поля событий аудита автоматически. Часть полей заполняется только для определенных типов событий и может не содержать значений. Остальные поля универсальны и заполняются независимо от типа события.

Table 1. Поля модели событий аудита
Ключ поля	Тип данных	Заполняется системой по умолчанию	Описание
`id`	UUID	Да	Уникальный идентификатор события аудита. Генерируется системой автоматически.
`sourceIp`	IPv6	Да	IP-адрес источника, от которого получено базовое событие.
`tenantId`	LCString	Да	Идентификатор тенанта.
`art`	DateTime	Да	Дата и время получения события системой-источником или агентом.
`raw`	String	Да	Текст базового (сырого) события.
`collectorId`	LCString	Да	Идентификатор коллектора, получившего событие.
`timestamp`	DateTime	Да	Дата и время получения события коллектором.
`type`	Enum	Да	Тип события: 4 — событие аудита.
`rt`	DateTime	Да	Дата и время получения устройством сведений о наблюдаемом событии.
`eventType`	LCString	Да	Тип события аудита.
`moduleKey`	LCString	Да	Раздел системы, в котором совершено действие.
`eventRiskLevel`	Enum	Да	Уровень угрозы события: 1 — отладочный (`DEBUG`); 2 — низкий (`LOW`); 3 — средний (`MEDIUM`); 4 — высокий (`HIGH`); 5 — критический (`CRITICAL`); 6 — фатальный (`FATAL`); 7 — аварийный (`ACCIDENT`).
`dvc`	IPv6	Нет	IPv6-адрес устройства, с которого получено событие.
`suser`	JSON-строка	Нет	Информация о пользователе, который совершил действие. Примеры сведений: ID учетной записи. ФИО учетной записи. Наличие прав администратора. Статус учетной записи.
`data`	JSON-строка	Да	Информация о сущности, над которой совершено действие. Примеры сведений: ID сущности. Тип сущности. Название сущности. Версия сущности. Длительность блокировки. Количество неуспешных попыток ввода. Максимальное время действия пароля. Минимальная длина пароля. Способ аутентификации. Тип события безопасности.
`meta`	JSON-строка	Да	Информация о событии аудита. Примеры сведений: Тип события. Результат выполнения действия (успешно/неуспешно). Тип действия (создание, изменение, удаление, запуск/включение, остановка/выключение).