События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.
Импорт элементов активного листа выполняется по частям через удаленное подключение.
Поскольку импорт осуществляется через удаленное соединение, ошибка передачи данных может произойти в любой момент: когда данные частично или полностью импортированы. EventOutcome возвращает статус подключения, а не статус проверки импорта.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для выполнения импорта. |
SourceUserID |
Идентификатор пользователя, который использовался для импорта. |
DeviceExternalID |
Идентификатор сервиса, для которого был выполнен импорт. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
Message |
Если EventOutcome = |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
название тенанта |
DeviceCustomString6Label |
|