Перейти к содержанию

События audit log

Обновлено: 2026-05-30
Хранение: MongoDB (product audit). Security-critical события дублируются в structlog (план SaaS → Loki).

Аутентификация

action Когда
auth.login Успешный login после 2FA
auth.logout Logout
auth.password.change Смена пароля в Profile

Сессии

action Когда
session.create Создание session token (pre-connect)
session.connect Установлено соединение RDP/SSH
session.disconnect Закрытие сессии (user, admin, idle reaper)

SSH

action Severity Когда
ssh.command info–critical Enter в терминале (redacted)
ssh.host_key_mismatch warning Host key изменился

SFTP

action Severity Когда
sftp.file_mkdir info
sftp.file_delete warning
sftp.file_rename info
sftp.file_download info
sftp.file_upload info
sftp.transfer info Cross-server copy

RDP / WinRM files

action Когда
winrm.file_download Скачивание через Files tab
winrm.file_upload Загрузка

JIT Access Requests

action Когда
access_request.create Пользователь создал запрос
access_request.approve super_admin одобрил
access_request.deny super_admin отклонил
access_request.expire Reaper истёк срок

Audit maintenance (super_admin)

action Когда
screenshot.delete Удаление скриншота из audit
recording.delete Удаление recording

Profile

action Когда
profile.domain_credential_set Сохранён domain password в vault
profile.domain_credential_removed Удалён domain credential

Alerts (generated)

action Когда
alert.{rule.kind} Срабатывание alert rule
alert.test Test notification

Severity (ssh.command)

Эвристики по тексту команды (пример):

  • rm -rf, destructive → critical / warning
  • mkdir, обычные → info

Admin notify hook (notify_admins) срабатывает на warning/critical (stub → structlog).

Кто видит audit

Роль Доступ
super_admin Audit Logs UI, export, delete media
admin / user Только своя лента в Profile (если включено)

См. rbac-matrix.md.