Коды параметров словаря в записях событий аудита

Если в параметрах журнала событий включена запись событий аудита и измененных параметров, при создании, изменении или удалении словаря в разделе Правила → Словари в событие журнала аудита записывается детальная информация об измененных параметрах.

Изменения в блоке Использование словаря не журналируются.

В таблице ниже показано, как параметры словаря кодируются в записи журнала аудита.

Коды параметров словаря в записи события аудита

Параметр в разделе Правила → Словари	Код в записи события аудита	Примеры
ID словаря	`id` Изменения параметра записываются только при создании или удалении словаря.	Словарь создан: `id[][1]` `name[][New dictionary]` `description[][]` `content.type[][Text]` Словарь изменен: `name[New dictionary][Test dictionary]` `description[][Some desc]` Словарь удален: `id[1][]` `name[Test dictionary][]` `description[Some desc][]` `content.type[Text][]`
Название	`name`
Описание	`description`
Содержимое словаря	`content.type` Возможные значения: `texts`, если выбран параметр Строки. `attachmentFormats`, если выбран параметр Типы файлов.
Текст	`content.texts.textList` После создания словаря со строковым типом содержимого в записи журнала событий аудита будут еще и строки для параметра Типы для поиска следующего вида: `content.attachmentFormats.<код категории>.<код типа файла>[][false]` Если в категории данных есть подкатегория, то в записи отображается `<код категории>.<код` `подкатегории>.` Коды категорий, подкатегорий и типов файла см. в Коды категорий и типов файлов словаря в событиях аудита.	Словарь создан: `content.texts.textList.Added[Abc Def]` Словарь изменен: `content.texts.textList.Added[Ghi Xyz]` `content.texts.textList.Removed[Def]` Словарь удален: `content.texts.textList.Removed[Abc Ghi Xyz]`
Маска	`content.texts.wildcardList` После создания словаря со строковым типом содержимого в записи журнала событий аудита будут еще и строки для параметра Типы для поиска следующего вида: `content.attachmentFormats.<код категории>.<код типа файла>[][false]`	Словарь создан: `content.texts.wildcardList.Added[.exe]` Словарь изменен: `content.texts.wildcardList.Added[.vbs]` `content.texts.wildcardList.Removed[.exe]` Словарь удален: `content.texts.wildcardList.Removed[.vbs]`
Регулярное выражение	`content.texts.regexList` После создания словаря со строковым типом содержимого в записи события будут еще и записи для параметра Типы для поиска следующего вида: `content.attachmentFormats.<код категории>.<код типа файла>[][false]`	Словарь создан: `content.texts.regexList.Added[^test_pattern$]` Словарь изменен: `content.texts.regexList.Added[\Atest_pattern\z]` `content.texts.regexList.Removed[^test_pattern$]` Словарь удален: `content.texts.regexList.Removed[\Atest_pattern\z]`
Типы для поиска	При создании или удалении словаря для каждого типа файлов записывается строка вида: `content.attachmentFormats.<код категории>.<код подкатегории>.<код типа файла>` При изменении словаря для типов файлов, у которых поменялось состояние флажка, записывается строка вида: `content.attachmentFormats.<код категории>.<код подкатегории>.<код типа файла>` После создания словаря с типом содержимого Типы файлов в журнале отображаются еще и записи для параметров Текст, Маска, Регулярное выражение следующего вида: `content.texts.textList.Added[]` `content.texts.wildcardList.Added[]` `content.texts.regexList.Added[]`	Словарь создан для следующих типов файлов: 7Z*; ACR; ARJ; EXE; DLL; OCX; SCR; SWF. `content.attachmentFormats.archiveCategory.archive7z[][true]` `content.attachmentFormats.archiveCategory.archiveAce[][true]` `content.attachmentFormats.archiveCategory.archiveArj[][true]` `content.attachmentFormats.executableCategory.` `executableWin[][true` `content.attachmentFormats.imageCategory.` `animationSubcategory.multimediaSwf[][true]` Также появляются строки для всех типов файлов, которые не были выбраны: `content.attachmentFormats.archiveCategory.archiveBzip2[][false]` `...` `content.attachmentFormats.archiveCategory.archiveZip[][false]` `...` `content.attachmentFormats.officeCategory.` `spreadsheetSubcategory.officeOds[][false]` `content.attachmentFormats.unknown[][false]` Словарь изменен: `content.attachmentFormats.archiveCategory.` `archiveArj[true][false]` Записи об остальных типах файлов не добавляются, потому что остальные типы файлов не изменились. Словарь удален: `content.attachmentFormats.archiveCategory.archive7z` `[true][]` `content.attachmentFormats.archiveCategory.archiveAce` `[true][]` `content.attachmentFormats.archiveCategory.archiveArj` `[false][]` `content.attachmentFormats.executableCategory.` `executableWin[true][]content.attachmentFormats.` `imageCategory.animationSubcategory.multimediaSwf` `[true][]` Для всех остальных типов файлов отобразятся записи вида: `content.attachmentFormats.<код категории>.<тип файла>[false][]`

В начало