События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.
Событию может быть присвоен статус succeeded
или failed
.
Поскольку запрос на удаление элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.
Это означает, что элемент активного листа может быть удален успешно, но событие все равно будет иметь статус failed
, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли удален элемент активного листа.
Название поля события |
Значение поля |
|
|
|
|
|
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
|
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
|
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
|
Логин пользователя, который использовался для удаления элемента активного листа. |
|
Идентификатор пользователя, который использовался для удаления элемента активного листа. |
|
Идентификатор сервиса, активный лист которого был очищен. |
|
Идентификатор активного листа. |
|
Название активного листа. |
|
Название ключа. |
|
|
|
Если EventOutcome = |
|
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
|
|
|
Название тенанта. |
|
|