События

При успешной синхронизации ARMA IEL с ARMA MC все события, зафиксированные модулями «Контроль приложений», «Контроль целостности» и «Контроль устройств», а также изменения в конфигурации фиксируются в ARMA MC в формате «cef».

При потере связи с ARMA MC ARMA IEL продолжает работать автономно по заданным конфигурациям, регистрируя события в базе данных при включенном журналировании . После восстановления связи события будут отправлены в ARMA MC.

Для просмотра списка событий необходимо открыть ARMA MC, выбрать раздел меню «Журналы», затем – подраздел «События».

Примечание

Порядок работы с событиями и просмотра подробной информации о них представлен в разделе События Руководства пользователя ARMA MC.

Формат вложенного сообщения «cef»

Формат вложенного сообщения «cef» имеет следующий вид:

«CEF:<Version>|<Device Vendor>|<Device Product>|<Device Version>
|<Device Event Class ID>|<Name>|<Priority>|<Extension>»

где:

«<Version>» – версия формата «cef»;

«<Device Vendor>» – производитель источника логов, всегда InfoWatch ARMA;

«<Device Product>» – название продукта источника логов, ARMA IEL;

«<Device Version>» – версия продукта источника логов;

«<Device Event Class ID>» – идентификатор события:

«white_list»;

«integrity_control»;

«device_control»;

«config_file»;

«<Name>» – описание события;

«White list»;

«Integrity control»;

«USB»;

«Сonfig file»;

«<Priority>» – приоритет события от «1» до «6»;

«<Extension>» – дополнительные поля, представляющие собой пары ключ=значение, в значении допускаются пробелы.

Ключи блока «<Extension>»

«rt» – время в формате unix timestamp;

«suser» – пользователь, инициировавший событие;

«act» – действие, которое было совершено:

«act=DENIED» – запрещено;

«act=ALLOWED» – разрешено;

«act=REMOVE» – удаление;

«act=WRITE» – изменение;

«act=CREATE» – создание;

«act=CHMOD» – изменение прав доступа;

«act=CHANGE» – изменение;

«filePath» – путь расположения файла, над которым было совершено действие;

«fname» – наименование файла («FILE» – файл, «DIR» – папка);

«fileType» – тип файла;

«cat» – категория действия;

«cs1» – PID или наименование подключённого устройства (USB или CD/DVD);

«cs1Label» – наименование «pid» или «device»;

«cs2» – VID подключенного устройства;

«cs2Label» – наименование «vid»;

«cs3» – серийный номер подключенного устройства;

«cs3Label» – наименование «serial_number».

Примеры «cef» сообщений

Сообщения модуля «Контроль приложений»

Модуль «Контроль приложений» заблокировал пользователю «simpleuser» доступ к файлу «test.txt», расположенному в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|white_list|White list|4|rt=1717764281 suser=simpleuser act=DENIED
cat=Blocked by app control filePath=/mnt/TEST/folder fname=test.txt

Модуль «Контроль целостности» заблокировал пользователю «simpleuser» доступ к файлу «test.txt», расположенному в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|white_list|White list|4|rt=1717764281 suser=simpleuser act=DENIED
cat=Blocked by integrity control filePath=/mnt/TEST/folder
fname=test.txt

Сообщения модуля «Контроль целостности»

Удалена папка «folder», располагавшаяся в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=REMOVE
filePath=/mnt/TEST/folder fname=folder

Удалён файл «test.txt», располагавшийся в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=REMOVE
filePath=/mnt/TEST/test.txt fname=test.txt

Изменён «test.txt», расположенный в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=WRITE
filePath=/mnt/TEST/test.txt fname=test.txt fileType=FILE

В «/mnt/TEST/» создана папка «folder»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=CREATE
filePath=/mnt/TEST/folder fname=folder fileType=DIR

В «/mnt/TEST/» создан файл «test.txt»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=CREATE
filePath=/mnt/TEST/test.txt fname=test.txt fileType=FILE

Перемещена папка «folder», располагавшаяся в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=MOVE
filePath=/mnt/TEST/folder fname=folder fileType=DIR

Перемещён файл «test.txt», располагавшийся в «/mnt/TEST/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=MOVE
filePath=/mnt/TEST/test.txt fname=test.txt fileType=FILE

Изменены права доступа к папке «folder»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=CHMOD
filePath=/mnt/TEST/folder fname=folder fileType=DIR

Изменены права доступа к файлу «test.txt»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|integrity_control|Integrity control|5|rt=1717764281 act=CHMOD
filePath=/mnt/TEST/test.txt fname=test.txt fileType=FILE

Сообщения модуля «Контроль устройств»

Заблокировано подключение устройства с PID «1111a», VID «22b» и серийным номером «333333333»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|device_control|USB|4|rt=1717764281 act=DENIED cs1=1111a cs2=22b
cs1Label=pid cs2Label=vid cs3Label=serial_number cs3=333333333

Успешное подключение устройства с PID «1111a», VID «22b» и серийным номером «333333333»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|device_control|USB|6|rt=1717764281 act=ALLOWED cs1=111a cs2=22b
cs1Label=pid cs2Label=vid cs3Label=serial_number cs3=333333333

Сообщение об изменении конфигурационного файла

Пользователь «simpleuser» внёс изменения в файл «integrity-control-config.yaml», расположенный в «/etc/iwarma-endpoint/»:

CEF:0|InfoWatch ARMA|ARMAIEL|3.0|config_file|Сonfig file|5|rt=1717764281 suser=simpleuser act=CHANGE
filePath=/etc/iwarma-endpoint/integrity-control-config.yaml fname=integrity-control-config.yaml
fileType=FILE