Descripción general
Passwork puede registrar eventos del Historial de acciones en formato CEF (Common Event Format), lo que permite configurar el envío de eventos a un SIEM (sistema de gestión de información y eventos de seguridad).
No proporcionamos instrucciones ni ejemplos para configurar soluciones de registro específicas, ya que dichas acciones dependen directamente de la infraestructura de cada empresa.
Activación
Debe ir a Configuración y usuarios → Historial de acciones → Configuración, y activar la opción — Registrar historial de acciones en syslog o en el Registro de eventos de Windows:
De forma predeterminada, tras la activación, todos los eventos de Passwork se registrarán en un archivo local:
- DEB (Ubuntu, Debian, Astra Linux) — /var/log/syslog
- RPM (RED OS, CentOS, RedHat) — /var/log/messages
- Docker — /<passwork>/log/php/syslog
- Windows Server — Configuración de Event Viewer
Si el archivo syslog no existe en servidores Linux basados en DEB, es necesario instalar el paquete — apt install syslog-ng -y
Cada evento incluye:
- El valor de Device (dependiendo del cliente):
- Interfaz web — web;
- Extensión del navegador — browser addon;
- Aplicación móvil — mobile;
- Solicitud API — api;
- Acción realizada por el sistema — internal.
- Event Code (Event ID) — un identificador único de la acción, por ejemplo item_created;
- Severity — el nivel de importancia del evento de 1 (bajo) a 10 (alto);
- Description — descripción de la acción ocurrida.
- Campos adicionales:
- suid — ID del usuario que realizó la acción;
- suser — Login del usuario que realizó la acción;
- duid — ID del usuario sobre el que se realizó la acción;
- duser — Login del usuario sobre el que se realizó la acción;
- passworkIp — Dirección IP del cliente.
Estructura del evento:
- CEF
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Los siguientes eventos están implementados en Passwork y se registran en el archivo local — Lista de eventos