Перейти к основному содержимому

Часто задаваемые вопросы об аудит-логах

Последнее изменение:

Почему я не вижу некоторые события?

Сервис Аудит-логи находится в активной разработке. На данный момент не все продукты и типы событий отображаются в аудит-логах — мы их постепенно добавляем.

Почему я не вижу некоторые поля в логах?

Некоторые поля в структуре события являются необязательными и могут не заполняться некоторыми сервисами. При отсутствии информации в полях они не отображаются в событиях.

Что означает "subject_id": "undefined"?

Это значит, что не удалось получить значение идентификатора субъекта события из-за сбоя или внутреннего устройства сервисов-источников событий. Для таких ситуаций используются зарезервированные значения.

В некоторых событиях детальная информация о субъекте предоставляется в парном событии аутентификации. В нем события с типом iam.account.init_action объединены с основным событием через поле request_id. К таким событиям относятся:

  • в сервисе iam — события с аккаунтом, пользователями;
  • в сервисе biling — события с финансовыми сигналами облачной платформы, отсрочкой платежа.

Как идентифицировать пользователя?

По значению поля subject_id или resource_id вы можете узнать данные пользователя, являющегося субъектом или ресурсом залогированного события — ФИО, email, номер телефона (для пользователей панели управления) или имя сервисного пользователя.

  1. В панели управления в верхнем меню нажмите Аккаунт.
  2. Перейдите в раздел Пользователи.
  3. Введите в поиске значение поля subject_id или resource_id пользователя из лога действия.
  4. Если информация не найдена, перейдите в раздел Сервисные пользователи и введите значение в поиске.
  5. Если информация не найдена, создайте тикет.

Как настроить интеграцию с SIEM-системой?

Вы можете настроить интеграцию, используя Audit Logs API нашего сервиса аудит-логов. С его помощью SIEM-система может регулярно скачивать события в формате JSON или CSV.

  1. Получите IAM-токен для аккаунта.

  2. В SIEM-системе или через промежуточный скрипт настройте регулярные запросы к API для периодической выгрузки:

    2.1. Установите интервал — например, раз в пять минут или час.

    2.2. Отфильтруйте выгрузку по событиям, сервисам или проектам.

  3. Выберите формат выгрузки:

    • JSON — рекомендуется для автоматической обработки;
    • или CSV — для импорта в табличные системы.

  4. Настройте отправку логов в SIEM. Полученные логи можно направлять в SIEM:

    • через встроенные коннекторы, если SIEM поддерживает ingest по API или файлу;
    • syslog-агенты, если необходимо преобразовать логи в нужный формат;
    • буферы — например, промежуточный парсер или очередь.

Как выгрузить нужные логи?

Максимальное количество строк в выгрузке — 1000.

Чтобы выгрузить только нужные события, можно использовать фильтры: