Просмотр журнала логирования Kaspersky MLAD
В Kaspersky MLAD используется система логирования Grafana для отслеживания состояния служб программы, а также для отслеживания событий информационной безопасности.
Отслеживание событий информационной безопасности Kaspersky MLAD в подсистеме логирования
В таблице ниже приведены типы событий ИБ, которые отслеживаются в Kaspersky MLAD.
Типы событий информационной безопасности
Идентификатор события информационной безопасности в системе логирования | Тип события информационной безопасности |
---|---|
| Подключение и попытки подключения пользователей к Kaspersky MLAD |
| Проверка прав пользователей при выполнении действий в веб-интерфейсе Kaspersky MLAD |
| Завершение подключения пользователей к Kaspersky MLAD |
| Запуск, остановка и перезапуск служб Kaspersky MLAD |
| Изменение учетных записей пользователей |
| Изменение параметров Kaspersky MLAD |
| Создание, изменение и удаление моделей |
| Импорт, создание, изменение и удаление тегов |
| Удаление логов событий ИБ из базы данных Kaspersky MLAD при превышении объема хранения логов или при истечении срока их хранения |
Каждая запись о событии ИБ содержит следующие параметры:
- event_id – идентификатор события ИБ.
- timestamp – дата и время события ИБ.
- event_type – идентификатор типа события ИБ.
- sub_type – уточнение типа события ИБ.
- severity – важность события ИБ. В Kaspersky MLAD предусмотрены следующие уровни важности событий ИБ:
- 1 – низкий.
К этим событиям ИБ относятся записи о предоставлении доступа пользователям на выполнение какого-либо действия в веб-интерфейсе и об успешном выполнении каких-либо действий пользователей.
- 5 – средний.
К этим событиям ИБ относятся записи о действиях пользователей в веб-интерфейсе по управлению ML-моделями, тегами, учетными записями и паролями, а также записи о достижении заданных порогов по времени и объему хранения логов событий ИБ.
- 8 – высокий.
К этим событиям ИБ относятся записи об указании пользователями неправильных логина и/или пароля при подключении к веб-интерфейсу программы, а также записи о неуспешных попытках смены пароля.
- 10 – высший.
К этим событиям ИБ относятся записи о попытках подключения к веб-интерфейсу программы с помощью системной или заблокированной учетной записи, а также записи о попытках выполнения каких-либо действий в программе при отсутствии соответствующих прав доступа.
- 1 – низкий.
- username – имя пользователя, действия которого привели к записи события ИБ.
- ip_address – IP-адрес компьютера, с которого пользователем было произведено действие, записанное в логи событий ИБ.
- outcome – результат события ИБ. Результат OK соответствует успешному выполнению операции пользователем. Результат FAIL соответствует отказу в выполнении операции пользователем.
- msg – краткое содержание события ИБ.
- info – подробное описание события ИБ.
Отслеживание состояния служб Kaspersky MLAD в подсистеме логирования
Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:
<
директория программы
>-<
название образа
>-#
,
где: #
– номер контейнера Docker.
По умолчанию Kaspersky MLAD использует директорию mlad-release-4.0.2-<
номер установочной сборки
>
.
В журнале логирования Kaspersky MLAD записи о состоянии служб программы хранятся только за последние 48 часов.
Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.
Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker
Служба Kaspersky MLAD | Имя образа | Имя контейнера |
---|---|---|
Anomaly Detector | anomaly_detector | mlad-release-4.0.2-<номер установочной сборки>-anomaly_detector-1 |
Time Series Database | influxdb | mlad-release-4.0.2-<номер установочной сборки>-influxdb-1 |
Message Broker | kafka | mlad-release-4.0.2-<номер установочной сборки>-kafka-1 |
Keeper | keeper | mlad-release-4.0.2-<номер установочной сборки>-keeper-1 |
Logger | logger | mlad-release-4.0.2-<номер установочной сборки>-logger-1 |
Database | postgres | mlad-release-4.0.2-<номер установочной сборки>-postgres-1 |
Similar Anomaly | similar_anomaly | mlad-release-4.0.2-<номер установочной сборки>-similar_anomaly-1 |
Event Processor | event-processor | mlad-release-4.0.2-<номер установочной сборки>-event-processor-1 |
Stream Processor | stream-processor | mlad-release-4.0.2-<номер установочной сборки>-stream-processor-1 |
Trainer | trainer | mlad-release-4.0.2-<номер установочной сборки>-trainer-1 |
Web Server | nginx-ui | mlad-release-4.0.2-<номер установочной сборки>-nginx-ui-1 |
API Server | web-server | mlad-release-4.0.2-<номер установочной сборки>-web-server-1 |
Mail Notifier | postman | mlad-release-4.0.2-<номер установочной сборки>-postman-1 |
OPC UA Connector | opcua-connector | mlad-release-4.0.2-<номер установочной сборки>-opcua-connector-1 |
MQTT Connector | mqtt-connector | mlad-release-4.0.2-<номер установочной сборки>-mqtt-connector-1 |
AMQP Connector | amqp-connector | mlad-release-4.0.2-<номер установочной сборки>-amqp-connector-1 |
HTTP Connector | gate | mlad-release-4.0.2-<номер установочной сборки>-gate-1 |
KICS Connector | kics3-connector | mlad-release-4.0.2-<номер установочной сборки>-kics3-connector-1 |
CEF Connector | cef-connector | mlad-release-4.0.2-<номер установочной сборки>-cef-connector-1 |
WebSocket Connector | ws-connector | mlad-release-4.0.2-<номер установочной сборки>-ws-connector-1 |
| webstatic | mlad-release-4.0.2-<номер установочной сборки>-webstatic-1 |
| migrations | mlad-release-4.0.2-<номер установочной сборки>-migrations-1 |
Для служб Time Series Database, Message Broker, Logger, Database, Web Server, а также образов webstatic и migrations используется уровень логирования Инфо
. Уровни логирования для остальных служб Kaspersky MLAD задаются системным администратором при настройке параметров программы.