События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.
Событию может быть присвоен статус succeeded или failed.
Поскольку запрос на удаление элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.
Это означает, что элемент активного листа может быть удален успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли удален элемент активного листа.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления элемента активного листа. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления элемента активного листа. |
DeviceExternalID |
Идентификатор сервиса, активный лист которого был очищен. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
DeviceCustomString1 |
Название ключа. |
DeviceCustomString1Label |
|
Message |
Если EventOutcome = |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|