Übersicht
Passwork kann Ereignisse aus dem Aktionsverlauf im CEF-Format (Common Event Format) aufzeichnen, was die Konfiguration des Sendens von Ereignissen an ein SIEM (Security Information and Event Management System) ermöglicht.
Wir stellen keine Anleitungen oder Beispiele für die Konfiguration spezifischer Protokollierungslösungen bereit, da solche Maßnahmen direkt von der Infrastruktur eines bestimmten Unternehmens abhängen.
Aktivierung
Gehen Sie zu Einstellungen und Benutzer → Aktionsverlauf → Einstellungen und aktivieren Sie die Option — Aktionsverlauf in Syslog oder Windows-Ereignisprotokoll aufzeichnen:
Standardmäßig werden nach der Aktivierung alle Passwork-Ereignisse in einer lokalen Datei aufgezeichnet:
- DEB (Ubuntu, Debian, Astra Linux) — /var/log/syslog
- RPM (RED OS, CentOS, RedHat) — /var/log/messages
- Docker — /<passwork>/log/php/syslog
- Windows Server — Event Viewer-Konfiguration
Wenn die syslog-Datei auf DEB-basierten Linux-Servern fehlt, müssen Sie das Paket installieren — apt install syslog-ng -y
Jedes Ereignis enthält:
- Den Device-Wert (abhängig vom Client):
- Weboberfläche — web;
- Browsererweiterung — browser addon;
- Mobile Anwendung — mobile;
- API-Anfrage — api;
- Vom System ausgeführte Aktion — internal.
- Event Code (Event ID) — ein eindeutiger Bezeichner der Aktion, zum Beispiel item_created;
- Severity — die Wichtigkeitsstufe des Ereignisses von 1 (niedrig) bis 10 (hoch);
- Description — Beschreibung der aufgetretenen Aktion.
- Zusätzliche Felder:
- suid — ID des Benutzers, der die Aktion ausgeführt hat;
- suser — Login des Benutzers, der die Aktion ausgeführt hat;
- duid — ID des Benutzers, auf den die Aktion angewendet wurde;
- duser — Login des Benutzers, auf den die Aktion angewendet wurde;
- passworkIp — Client-IP-Adresse.
Ereignisstruktur:
- CEF
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Die folgenden Ereignisse sind in Passwork implementiert und werden in der lokalen Datei aufgezeichnet — Ereignisliste