Skip to content

Журнал безопасности

Журнал аудита в Agora используется для контроля административных действий, расследования инцидентов и последующего анализа событий безопасности. Через этот раздел можно просматривать историю операций, выполненных пользователями в системе.

Практический смысл журнала аудита

Журнал аудита нужен для того, чтобы восстановить историю действий в системе, понять кто и когда выполнял операции, а также использовать эти данные для расследования инцидентов, внутреннего контроля и последующего security-анализа.

Что показывает журнал аудита

Журнал аудита

В списке audit-событий отображаются:

  • время выполнения операции;
  • идентификатор сессии;
  • учетная запись, выполнившая действие;
  • тип события;
  • объект, к которому относится операция;
  • дополнительные данные события в payload.

Если событие связано с известным объектом системы, интерфейс позволяет перейти по ссылке:

  • к карточке сессии;
  • к карточке пользователя;
  • к потоку;
  • к стримеру.

Это позволяет быстро переходить от отдельной записи аудита к связанному объекту и восстанавливать контекст произошедшего.

Контролы поиска и фильтрации

Для работы с журналом аудита предусмотрены контролы:

  • выбора даты или временного диапазона;
  • фильтрации по типам событий.

Такие фильтры позволяют:

  • быстро выделить события за нужный период;
  • анализировать только интересующие типы операций;
  • отделять действия пользователей, изменения конфигурации и security-события друг от друга.

Типы событий

В журнале аудита фиксируются разные классы операций, включая:

  • вход и выход пользователей;
  • создание, изменение и удаление потоков;
  • создание, изменение и удаление стримеров;
  • операции над учетными записями, включая блокировку.

Состав типов событий может расширяться по мере развития системы и backend API.

Постраничная загрузка журнала

Журнал аудита загружается порциями. Если записей много, интерфейс позволяет последовательно подгружать следующие записи журнала.

Такой подход нужен для:

  • работы с большими объемами событий;
  • снижения нагрузки на интерфейс;
  • удобного последовательного просмотра истории операций.

Связь с сессиями безопасности

Журнал аудита тесно связан с разделом пользовательских сессий. Для каждой сессии можно просматривать связанные операции, а из журнала аудита можно перейти к конкретной сессии и продолжить анализ уже в ее контексте.

Это особенно полезно при расследовании подозрительных действий, проверке административных изменений и анализе действий конкретного пользователя в рамках одного входа в систему.