События аудита записываются в стандартном формате, если в параметрах журнала событий аудита включена запись событий аудита.
Информация о каждом обнаруженном событии аудита передается как отдельное syslog-сообщение стандартного формата, имеющее кодировку UTF-8. Категория записи события указана в разделе Параметры → Журналы и события → Syslog → Стандартный формат → Категория Syslog (facility).
Сообщение в стандартном формате выглядит следующим образом:
<дата и время события> <IP-адрес и порт узла> KSMG: <информация о событии>
Дата и время события соответствует часовому поясу узла, на котором было инициировано событие. Формат даты и времени определяется параметрам протокола Syslog в операционной системе.
Поля syslog-сообщения о событии, определяемые параметрами приложения, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через точку с запятой (";").
Ключи, а также их значения, содержащиеся в сообщении, зависят от группы события.
Пример: Aug 15 09:09:15 host.domain.com 10.16.32.64:9045 KSMG: event-type="authentication": event="authentication_attempt": event-guid="51b06b47-6a47-4349-ae03-7ea0559b683f": event-result="Success": event-part="1": event-total-parts="1": user-account-type="Local": user-ip="0.0.0.0": user-login="Administrator": user-roles="Superuser": auth-type="Local" |
Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен KSMG.
В начало