Описание формата логов

Аудит vision_core#

Формат CEF#

Записи в формате CEF (Common Event Format) формируются по шаблону:

<Version>|<DeviceVendor>|<DeviceProduct>|<DeviceVersion>|<DeviceEventClassID>|<Name>|<Severity>|<Extension>

Здесь:

  • <Version> — версия формата CEF. Константа CEF:0.

  • <DeviceVendor> — название производителя. Константа Skala-r.

  • <DeviceProduct> — название продукта. Константа Vision.

  • <DeviceVersion> — версия Визиона.

  • <DeviceEventClassID> — уникальный идентификатор категории события. Формируется по шаблону:

    <группа><действие><статус>

  • <Name> — краткое описание события.

  • <Severity> — важность события, выраженная целым числом от 0 (неважное) до 10 (крайне важное).

  • <Extension> — список пар ключ=значение, содержащих дополнительную информацию о событии.

    Возможные значения ключей:

    • app — протокол уровня приложения (при наличии).

    • deviceProcessName — полное имя процесса. Константа vision_core.

    • dhost — имя хоста получателя (Визиона).

    • dpt — порт на стороне получателя (Визиона) (при наличии).

    • dst — IP-адрес хоста получателя (Визиона).

    • externalId — уникальный номер строки о событии в рамках одного журнала. Сквозная инкрементация (счетчик). Обнуляется при перезапуске сервиса.

    • msg — текст сообщения с детальной информацией о событии.

    • outcome — результат события, success или failure.

    • shost — FQDN или имя хоста-источника (при наличии).

    • spt — порт на стороне источника (при наличии).

    • src — IP-адрес хоста-источника (при наличии).

    • start — время возникновения события в формате Unix Timestamp.

    • suser — имя пользователя, инициировавшего событие (при наличии).

Формат JSON#

Записи в формате JSON формируются по шаблону:

Пример записи:

{
  "createdAt": "1722617884851",
  "userNode": "vision-dev-ps.int.skala-r.tech",
  "metamodelVersion": "1",
  "module": "Vision",
  "name": "Чтение: версия Визиона",
  "userLogin": "admin",
  "userName": "admin",
  "params": [
    { "name": "message", "value": "Чтение: версия Визиона" },
    { "name": "serviceVersion", "value": "dev-281" }
  ]
}

Здесь:

  • createdAt — время возникновения события в формате Unix Timestamp.

  • userNode — имя хоста получателя (Визиона).

  • metamodelVersion — константа 1.

  • module — название продукта. Константа Vision.

  • name — краткое описание события.

  • userLogin — название учётной записи пользователя, инициировавшего событие.

  • userName — полное имя пользователя, инициировавшего событие (если доступно).

  • params — список словарей с дополнительной информацией:

    Значение поля value интерпретируется в зависимости от значения поля name:

    • message — дополнительная информация о событии;

    • serviceVersion — версия Визиона.

Журналирование vision_core#

Записи в журнал vision_core формируются по шаблону:

<datetime> <hostname> <severity> <description>

Здесь:

  • <datetime> — дата и время события;

  • <hostname> — доменное имя хоста получателя (Визиона);

  • <severity> — важность сообщения;

  • <description> — описание события.

Пример записи в журнале vision_core:

2024-08-02T19:58:04+0300 vision-dev-ps.int.skala-r.tech INFO Чтение: версия Визиона