Записи в журнале активности пользователей Sandbox

Журнал активности пользователей Sandbox содержит записи в формате CEF (CEF-сообщения). По записи в журнале можно понять, какое событие произошло вследствие действий пользователя.

Пример записи об установке образа виртуальной машины:

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| dvs=<IP> deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src=<IP> suser=admin cs1=installing the default image cs1label=CentOS7_x64-1.0.0.19888

Пример выше содержит три группы полей:

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| – поля заголовка.
dvs=<IP> deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src=<IP> suser=admin cs1=installing the default image – поля тела CEF-сообщения, общие для всех записей.
cs1label=CentOS7_x64-1.0.0.19888 – поле, специфичное для действий, имеющих объект. Например, объектом действия "установка образа виртуальной машины" является образ виртуальной машины, и в поле cs1label указывается имя этого образа.

Поля заголовка

В заголовке каждого сообщения содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название приложения.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия приложения.
Текущее значение поля: 7.1.1.531.
Тип события.
Может содержать одно из следующих значений:
- user_account
  События, связанные с учетными записями пользователей Sandbox.
- settings
  События, связанные с настройками Sandbox.
- kata
  События, связанные с соединением между Sandbox и Central Node.
- vm
  События, связанные с виртуальными образами операционных систем, развернутых в Sandbox.
Наименование события, указанное в заголовке.
Может содержать одно из следующих значений:
- Managing user accounts
  Действия с учетными записями пользователей. Относится к типу user_account.
- Count of unsuccessful authorization attempts exceeded
  Превышение количества неуспешных попыток авторизации. Относится к типу user_account.
- Settings
  Изменение параметров сервера Sandbox. Относится к типу settings.
- Configuring integration with KATA Central Node
  Настройка интеграции с Central Node. Относится к типу kata.
- Managing virtual machines
  Действия с виртуальными машинами. Относится к типу vm.
Важность события.
Текущее значение поля: Low.

Общие поля для всех событий

Поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". В каждом CEF-сообщении имеются следующие поля:

dvs
IP-адрес сервера Sandbox.
device external ID
Имя сервера Sandbox.
eventId
ID события.
rt
Дата и время события.
src
IP-адрес пользователя, выполнившего действие.
suser
Имя пользователя, выполнившего действие.
cs1
Событие (см. таблицу ниже).

Специфические поля событий

События и специфические поля

Событие, указанное в поле cs1	Специфические поля события

Managing user accounts
`changing the administrator password`	`cs1label` Имя пользователя, чей пароль был изменен.
`log on`	`cs1label` Имя пользователя, выполнившего авторизацию.
`log off`	`cs1label` Имя пользователя, завершившего сессию.
Count of unsuccessful authorization attempts exceeded
`count of unsuccessful authorization attempts`	`cs1label` Имя пользователя, которому не удалось авторизоваться. `cn1` Количество неуспешных попыток авторизации.
Settings
`assigning the server name to be used by DNS servers` `configuring DNS settings` `configuring settings of the management interface` `configuring settings of the network interface for internet access of processed objects` `configuring the route settings` `configuring proxy server connection settings` `configuring the date and time on the server` `configuring the time zone on the server` `configuring the synchronization with NTP servers`	`cs1label` Имя сервера, параметры которого были изменены.
`saving the configuration` `restoring the configuration`	`cs1label` Имя сервера, параметры которого были сохранены или восстановлены.
`restarting the server` `powering off the server`	`cs1label` Имя сервера, который был перезагружен или выключен.
`downloading the logs` `downloading the user actions log`	`cs1label` Имя сервера, с которого были скачаны файлы журналов.
`selecting a database update source` `updating database manually`	`cs1label` Имя сервера, на котором были обновлены антивирусные базы или изменен источник обновлений.
`setting the maximum number of virtual machines`	`cs1label` Количество виртуальных машин, которое было задано.
`enabling counting of unsuccessful authorization attempts` `disabling counting of unsuccessful authorization attempts`	`cs1label` Имя сервера, на котором включен или выключен подсчет неуспешных попыток авторизации.
`modifying the counting period for unsuccessful authorization attempts`	`cs1label` Имя сервера, на котором изменен период подсчета неуспешных попыток авторизации. `cn1` Период подсчета неуспешных попыток авторизации, в минутах.
`changing user session lock time`	`cs1label` Имя сервера, на котором изменена максимальная длительность неактивной пользовательской сессии. `cn1` Максимальная длительность неактивной пользовательской сессии, в минутах.
Configuring integration with KATA Central Node
`accepting connection to KATA Central Node` `rejecting connection to KATA Central Node` `removing connection to KATA Central Node`	`cs1label` Цифровой отпечаток Central Node, с которого поступил запрос на подключение.
Managing virtual machines
`importing the default image` `deleting the default image` `unpacking the default image`	`cs1label` Имя загружаемого или удаляемого файла с образом виртуальной машины.
`installing the default image` `deleting the virtual machine deployed from the default image` `cancelling the default images installation`	`cs1label` Имя образа виртуальной машины, который был развернут, удален или чья установка отменена.
`uploading ISO` `removing ISO`	`cs1label` Название загружаемого или удаляемого iso-образа.
`creating custom template` `importing custom template` `exporting custom template` `enabling custom template` `disabling custom template` `stopping custom template` `deleting custom template`	`cs1label` Имя пользовательского шаблона виртуальной машины, который был создан, импортирован, экспортирован, включен, выключен, остановлен или удален.
`downloading manifest file` `uploading debug symbols`	Нет специфических полей.
`mounting ISO to custom template` `unmounting ISO from custom template`	`cs1label` Имя пользовательского шаблона виртуальной машины, к которому был примонтирован iso-образ или от которого был размонтирован iso-образ. `cs2label` Название примонтированного или размонтированного iso-образа.
`creating custom virtual machine from custom template` `deleting custom virtual machine` `changing the custom virtual machine status to "online"` `changing the custom virtual machine status to "enabled"`	`cs1label` Имя виртуальной машины, которая была развернута из пользовательского образа, удалена или статус которой был изменен.

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

В начало