Содержание
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- Поля событий аудита
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
Команды для запуска и установки компонентов вручную
В этом разделе описаны параметры исполняемого файла KUMA /opt/kaspersky/kuma/kuma, с помощью которого можно вручную запустить или установить компоненты KUMA. Это может пригодиться в случае, если вам нужно увидеть выходные данные в консоли операционной системы сервера.
Параметры команд
Команды |
Описание |
|
Запуск инструментов управления KUMA. |
|
Установка, запуск или удаление сервиса коллектора. |
|
Установка, запуск или удаление сервиса Ядра. |
|
Установка, запуск или удаление сервиса коррелятора. |
|
Установка, запуск или удаление сервиса агента. |
|
Получение информации о доступных командах и параметрах. |
|
Получение информации о лицензии. |
|
Запуск или установка Хранилища. |
|
Получение информации о версии программы. |
Флаги:
-h, --h используются для получения справочной информации о командах файла kuma. Например: kuma <компонент> --help.
Примеры:
kuma version– получение информации о версии установщика KUMA.kuma core -h– получение справки по командеcoreустановщика KUMA.kuma collector --core <адрес сервера, где должен получить свои параметры коллектор> --id <идентификатор устанавливаемого сервиса> --api.port <порт>используется для запуска установки сервиса коллектора.
Проверка целостности файлов KUMA
Целостность компонентов KUMA проверяется с помощью набора скриптов, основанных на инструменте integrity_checker, расположенных в директории /opt/kaspersky/kuma/integrity/bin. При проверке целостности используются xml-файлы манифестов из директории /opt/kaspersky/kuma/integrity/manifest/*, подписанные криптографической сигнатурой "Лаборатории Касперского".
Для запуска инструмента проверки целостности необходима учетная запись с правами не ниже прав учетной записи kuma.
Проверка целостности выполняется раздельно для компонентов KUMA и должна выполняться раздельно на серверах с соответствующими компонентами. При проверке целостности также проверяется целостность использованного xml-файла.
Чтобы проверить целостность файлов компонентов:
- Перейдите в директорию, содержащую набор скриптов с помощью следующей команды:
cd /opt/kaspersky/kuma/integrity/bin - Выполните команду из таблицы ниже, в зависимости от того, целостность какого компонента KUMA вы хотите проверить:
./check_all.sh– компоненты Ядра KUMA и хранилища;./check_core.sh– компоненты Ядра KUMA;./check_collector.sh– компоненты коллектора KUMA;./check_correlator.sh– компоненты коррелятора KUMA;./check_storage.sh– компоненты хранилища;./check_kuma_exe.sh <полный путь к файлу kuma.exe без указания имени файла> –агент KUMA для Windows. Стандартное расположение исполняемого файла агента на устройстве Window: C:\Program Files\Kaspersky Lab\KUMA\.
Целостность файлов компонентов будет проверена.
Результат проверки каждого компонента отображается в следующем формате:
- Блок Summary описывает количество проверенных объектов со статусом проверки: целостность не подтверждена/объект пропущен/целостность подтверждена:
- Manifests – количество обработанных файлов манифеста.
- Files – количество обработанных файлов KUMA.
- Directories – при проверке целостности KUMA не используется.
- Registries – при проверке целостности KUMA не используется.
- Registry values – при проверке целостности KUMA не используется.
- Результат проверки целостности компонента:
- SUCCEEDED – целостность подтверждена.
- FAILED – целостность нарушена.
Модель данных нормализованного события
В этом разделе вы можете найти модель данных нормализованного события KUMA. Все события, которые обрабатываются корреляторами KUMA с целью обнаружения алертов, должны соответствовать этой модели.
События, несовместимые с этой моделью данных, необходимо преобразовывать в этот формат (нормализовать) с помощью коллекторов.
Модель данных нормализованного события
Название поля |
Тип значения |
Описание |
|
Поля внутреннего стандарта |
|
|
|
ID |
Строка |
Уникальный идентификатор события типа UUID. Никогда не меняет своего значения Для базового события, генерируемого на коллекторе, идентификатор генерируется коллектором. Идентификатор корреляционного события генерируется коррелятором. |
|
Timestamp |
Число, timestamp |
Время создания базового и корреляционного событий в коллекторе. Время создания корреляционного события в корреляторе. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
TenantID |
Строка |
Идентификатор тенанта. |
|
ServiceID |
Строка |
Идентификатор экземпляра сервиса: коррелятора, коллектора, хранилища. |
|
ServiceName |
Строка |
Название экземпляра сервиса, задается администратором KUMA при создании сервиса. |
|
AggregationRuleName |
Строка |
Название правила агрегации, которое обработало событие. |
|
AggregationRuleID |
Строка |
Идентификатор правила агрегации, которое обработало событие. |
|
CorrelationRuleName |
Строка |
Название правила корреляции, по которому было создано корреляционное событие. Заполняется только для корреляционного события. |
|
CorrelationRuleID |
Строка |
Идентификатор правила корреляции, по которому было создано корреляционное событие. Заполняется только для корреляционного события. |
|
GroupedBy |
Вложенный список строк |
Список названий полей, по которым была группировка в корреляционном правиле. Заполняется только для корреляционного события. |
|
Priority |
Число |
Уровень важности события. |
|
Code |
Строка |
В базовом событии это код возврата процесса, функции или операции из источника. В корреляционном событии в это поле записывается код алерта для первой линии поддержки, либо код шаблона уведомления, которое будет отправлено.
|
|
Tactic |
Строка |
Название тактики из MITRE. |
|
Technique |
Строка |
Название техники из MITRE. |
|
ReplayID |
Строка |
Идентификатор ретроспективной проверки, в процессе которой было создано событие. |
|
Raw |
Строка |
Неизмененный текст исходного, "сырого" события. |
|
SourceAssetID |
Строка |
Идентификатор целевого актива. |
|
DestinationAssetID |
Строка |
Идентификатор актива-источника. |
|
DeviceAssetID |
Строка |
Идентификатор актива. |
|
SourceAccountID |
Строка |
Идентификатор целевой учетной записи. |
|
DestinationAccountID |
Строка |
Идентификатор учетной записи-источника. |
|
SpaceID |
Строка |
Идентификатор пространства. |
|
BaseEvents |
Вложенный список [Event] |
Вложенная структура со списком базовых событий. Поле может быть заполнено у корреляционных событий. |
|
TI |
Вложенный словарь [строка:строка] |
Поле, в котором в формате словаря содержатся категории, полученные от внешнего источника Threat Intelligence по индикаторам из события. |
|
Extra |
Вложенный словарь [строка:строка] |
Поле, в которое во время нормализации "сырого" события можно поместить те его поля, для которых не настроено сопоставление с полями события KUMA. Это поле может быть заполнено только у базовых событий. |
|
AffectedAssets |
Вложенная структура [Affected] |
Вложенная структура, из которой можно обратиться к связанным с алертам активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта. |
|
Поля по стандарту CEF |
|
|
|
DeviceVendor |
Строка |
Название производителя источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceProduct |
Строка |
Название продукта из источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceVersion |
Строка |
Версия продукта из источника журнала. Значение берется из "сырого" события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. |
|
DeviceEventClassID |
Строка |
Уникальный идентификатор типа события из источника журнала. Некоторые источники журнала определяют категорию событий. |
|
Name |
Строка |
Название события в "сыром" событии. |
|
Severity |
Строка |
Уровень важности ошибки из "сырого" события. |
|
DeviceAction |
Строка |
Действие, совершенное устройством или предпринятое источником журнала. Например, blocked, detected. |
|
ApplicationProtocol |
Строка |
Протокол уровня приложений, например HTTP, Telnet. |
|
DeviceCustomIPv6Address1 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address1Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address1. |
|
DeviceCustomIPv6Address2 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address2Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address2. |
|
DeviceCustomIPv6Address3 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address3Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address3. |
|
DeviceCustomIPv6Address4 |
Строка |
Поле для отображения значения адреса IPv6, которое не может быть сопоставлено любому другому элементу модели данных. Может использоваться для обработки журналов сетевых устройств, где необходимо отличать IP-адреса разных устройств (например, для брандмауэров). Поле настраивается. |
|
DeviceCustomIPv6Address4Label |
Строка |
Описание назначения поля DeviceCustomIPv6Address4. |
|
DeviceEventCategory |
Строка |
Категория "сырого" события из схемы определения категорий событий источника журнала. |
|
DeviceCustomFloatingPoint1 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint1Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint1. |
|
DeviceCustomFloatingPoint2 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint2Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint2. |
|
DeviceCustomFloatingPoint3 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint3Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint3. |
|
DeviceCustomFloatingPoint4 |
Число |
Поле для значения типа Float, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomFloatingPoint4Label |
Строка |
Описание назначения поля DeviceCustomFloatingPoint4. |
|
DeviceCustomNumber1 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber1Label |
Строка |
Описание назначения поля DeviceCustomNumber1. |
|
DeviceCustomNumber2 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber2Label |
Строка |
Описание назначения поля DeviceCustomNumber2. |
|
DeviceCustomNumber3 |
Число |
Поле для целочисленного значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается.
|
|
DeviceCustomNumber3Label |
Строка |
Описание назначения поля DeviceCustomNumber3. |
|
BaseEventCount |
Число |
Количество базовых событий, объединенных в агрегированном событии. |
|
DeviceCustomString1 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString1Label |
Строка |
Описания назначения поля DeviceCustomString1. |
|
DeviceCustomString2 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString2Label |
Строка |
Описания назначения поля DeviceCustomString2. |
|
DeviceCustomString3 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString3Label |
Строка |
Описания назначения поля DeviceCustomString3. |
|
DeviceCustomString4 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString4Label |
Строка |
Описания назначения поля DeviceCustomString4. |
|
DeviceCustomString5 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString5Label |
Строка |
Описания назначения поля DeviceCustomString5. |
|
DeviceCustomString6 |
Строка |
Поле для строкового значения, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
DeviceCustomString6Label |
Строка |
Описания назначения поля DeviceCustomString6. |
|
DestinationDnsDomain |
Строка |
DNS-часть полного доменного имени (FQDN) точки назначения, если "сырое" событие содержит сведения об отправителе и получателе данных. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationServiceName |
Строка |
Название сервиса на стороне приемника трафика. Например, "sshd". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationTranslatedAddress |
Строка |
IP-адрес устройства приемника трафика (после трансляции). Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationTranslatedPort |
Число |
Номер порта на устройстве приемника трафика (после трансляции адреса приемника). Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceCustomDate1 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
DeviceCustomDate1Label |
Строка |
Поле для описания назначения поля DeviceCustomDate1. |
|
DeviceCustomDate2 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
DeviceCustomDate2Label |
Строка |
Поле для описания назначения поля DeviceCustomDate2. |
|
DeviceDirection |
Число |
Поле для описания направления соединения из "сырого" события.
|
|
DeviceDnsDomain |
Строка |
DNS-часть полного доменного имени (FQDN) IP-адреса устройства, с которого пришло "сырое" событие. |
|
DeviceExternalID |
Строка |
Внешний уникальный идентификатор устройства, если такой передается в "сыром" событии. |
|
DeviceFacility |
Строка |
Facility из "сырого" события, если есть. Например, в Syslog в поле Facility может передаваться название компоненты ОС, в которой произошла ошибка.
|
|
DeviceInboundInterface |
Строка |
Название интерфейса входящего соединения. |
|
DeviceNtDomain |
Строка |
Доменное имя Windows устройства. |
|
DeviceOutboundInterface |
Строка |
Название интерфейса исходящего соединения. |
|
DevicePayloadID |
Строка |
Уникальный идентификатор полезной нагрузки, который ассоциирован с "сырым" событием. |
|
DeviceProcessName |
Строка |
Название процесса из "сырого" события. |
|
DeviceTranslatedAddress |
Строка |
Ретранслированный IP-адрес устройства, с которого пришло "сырого" событие. |
|
DestinationHostName |
Строка |
Название хоста приемника трафика. Полное доменное имя приемника трафика, если доступно. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationMacAddress |
Строка |
MAC-адрес устройства приемника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationNtDomain |
Строка |
Доменное имя Windows устройства приемника трафика. |
|
DestinationProcessID |
Число |
Идентификатор системного процесса, ассоциированного с приемником трафика в "сыром" событии. Например, если в событии указано Process ID 105, то DestinationProcessId=105. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationUserPrivileges |
Строка |
Названия пользовательских ролей, которые идентифицируют пользовательские привилегии на стороне точки назначения. Например, "User", "Guest", "Administrator". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationProcessName |
Строка |
Название системного процесса в точке назначения. Например, "sshd", "telnet". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationPort |
Число |
Номер порта на стороне точке назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationAddress |
Строка |
IPv4-адрес точки назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceTimeZone |
Строка |
Часовой пояс устройства, на котором было сгенерировано событие. По умолчанию указывается часовой пояс системного времени коллектора или коррелятора. Если настроено обогащение события сведениями о часовом поясе, в поле указывается часовой пояс из правила обогащения. Если в "сыром" событии был указан часовой пояс источника события и при нормализации эти данные были сохранены, в поле события сохраняются сведения о часовом поясе источника события. Формат значения поля: +-чч:мм. |
|
DestinationUserID |
Строка |
Идентификатор пользователя на стороне точки назначения. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DestinationUserName |
Строка |
Имя пользователя на стороне точки назначения. Может содержать адрес электронной почты пользователя. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
DeviceAddress |
Строка |
IPv4-адрес устройства, с которого получено событие. |
|
DeviceHostName |
Строка |
Название хоста устройства, с которого было получено событие. Полное доменное имя устройства, если доступно. |
|
DeviceMacAddress |
Строка |
MAC-адрес устройства, с которого было получено событие. Полное доменное имя устройства, если доступно. |
|
DeviceProcessID |
Число |
Идентификатор системного процесса устройства, которое создало событие. |
|
EndTime |
Число |
Время завершения события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
ExternalID |
Строка |
Идентификатор устройства, которое создало событие. |
|
FileCreateTime |
Число |
Время создания файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
FileHash |
Строка |
Хеш-код файла. |
|
FileID |
Строка |
Идентификатор файла. |
|
FileModificationTime |
Число |
Время последней модификации файла. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
FilePath |
Строка |
Путь к файлу, включая имя файла. |
|
FilePermission |
Строка |
Список разрешений к файлу. |
|
FileType |
Строка |
Тип файла. Например, application, pipe, socket. |
|
FlexDate1 |
Число, timestamp |
Поле для значения типа Timestamp, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
FlexDate1Label |
Строка |
Описание назначения поля flexDate1. |
|
FlexString1 |
Строка |
Поле для значения типа String, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexString1Label |
Строка |
Описание назначения поля flexString1. |
|
FlexString2 |
Строка |
Поле для значения типа String, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexString2Label |
Строка |
Описание назначения поля flexString2. |
|
FlexNumber1 |
Число |
Поле для целочисленного типа, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexNumber1Label |
Строка |
Описание назначения поля flexNumber1. |
|
FlexNumber2 |
Число |
Поле для целочисленного типа, которое не может быть сопоставлено любому другому полю модели данных. Поле настраивается. |
|
FlexNumber2Label |
Строка |
Описание назначения поля flexNumber2. |
|
FileName |
Строка |
Имя файла, без указания пути к файлу. |
|
FileSize |
Число |
Размер файла. |
|
BytesIn |
Число |
Количество полученных источником и переданных получателю байтов. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения.
|
|
Message |
Строка |
Краткое описание ошибки или проблемы из "сырого" события. |
|
OldFileCreateTime |
Число |
Время создания OLD-файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
OldFileHash |
Строка |
Хеш-код OLD-файла. |
|
OldFileID |
Строка |
Идентификатор OLD-файла. |
|
OldFileModificationTime |
Число |
Время последней модификации OLD-файла. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
|
|
OldFileName |
Строка |
Имя OLD-файла (без пути). |
|
OldFilePath |
Строка |
Путь к OLD-файлу, включая имя файла. |
|
OldFilePermission |
Строка |
Путь к OLD-файлу, включая имя файла. |
|
OldFileSize |
Число |
Размер OLD-файла. |
|
OldFileType |
Строка |
Тип файла. Например, application, pipe, socket. |
|
BytesOut |
Число |
Количество отправленных байтов. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
EventOutcome |
Строка |
Результат выполнения действия. Например, "success", "failure". |
|
TransportProtocol |
Строка |
Название протокола 4-уровня OSI (например, TCP, UDP). |
|
Reason |
Строка |
Краткое описание причины аудита в сообщениях аудита. |
|
RequestUrl |
Строка |
URL запроса. |
|
RequestClientApplication |
Строка |
Агент, который обрабатывал запрос. |
|
RequestContext |
Строка |
Описание контекста запроса. |
|
RequestCookies |
Строка |
Файлы cookie, связанные с запросом. |
|
RequestMethod |
Строка |
Метод, который использовался для доступа к веб-адресу (например, POST, GET). |
|
DeviceReceiptTime |
Число |
Время получения события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
SourceHostName |
Строка |
Название хоста источника трафика. Полное доменное имя источника трафика, если доступно. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceDnsDomain |
Строка |
Доменное имя Windows-устройства источника трафика. |
|
SourceServiceName |
Строка |
Название сервиса на стороне источника трафика. Например, "sshd". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceTranslatedAddress |
Строка |
IPv4-адрес перехода источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceTranslatedPort |
Число |
Номер порта перехода на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceMacAddress |
Строка |
MAC-адрес устройства источника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceNtDomain |
Строка |
Доменное имя Windows устройства источника трафика. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceProcessID |
Число |
Идентификатор системного процесса, ассоциированного с источником трафика в "сыром" событии. Например, если в событии указано Process ID 105, то SourceProcessId=105. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceUserPrivileges |
Строка |
Названия пользовательских ролей, которые идентифицируют пользовательские привилегии на стороне источника. Например, "User", "Guest", "Administrator". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceProcessName |
Строка |
Название системного процесса на стороне источника. Например, "sshd", "telnet". Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourcePort |
Число |
Номер порта на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceAddress |
Строка |
IPv4-адрес источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
StartTime |
Число |
Время, когда началось связанное с событием действие. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. |
|
SourceUserID |
Строка |
Идентификатор пользователя на стороне источника. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
SourceUserName |
Строка |
Имя пользователя на стороне источника. Может содержать адрес электронной почты пользователя. Используется для обработки журналов сетевого трафика, где необходимо отличать источник и точку назначения. |
|
Type |
Число |
Тип события. Доступны следующие значения:
|
|
Поля с геоданными |
|
|
|
SourceCountry |
Строка |
Страна, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
SourceRegion |
Строка |
Регион, соответствующий IPv4-адресу источника из поля SourceAddress. |
|
SourceCity |
Строка |
Город, соответствующий IPv4-адресу источника из поля SourceAddress. |
|
SourceLatitude |
Число |
Долгота, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
SourceLongitude |
Число |
Широта, соответствующая IPv4-адресу источника из поля SourceAddress. |
|
DestinationCountry |
Строка |
Страна, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationRegion |
Строка |
Регион, соответствующий IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationCity |
Строка |
Город, соответствующий IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationLatitude |
Число |
Долгота, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DestinationLongitude |
Число |
Широта, соответствующая IPv4-адресу точки назначения из поля DestinationAddress. |
|
DeviceCountry |
Строка |
Страна, соответствующая IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceRegion |
Строка |
Регион, соответствующий IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceCity |
Строка |
Город, соответствующий IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceLatitude |
Число |
Долгота, соответствующая IPv4-адресу устройства из поля DeviceAddress. |
|
DeviceLongitude |
Число |
Широта, соответствующая IPv4-адресу устройства из поля DeviceAddress.
|
|
Вложенная структура Affected
Поле |
Тип данных |
Описание |
|
Вложенный список |
Перечень и количество связанных с алертом активов. |
|
Вложенный список |
Перечень и количество связанных с алертом учетных записей. |
Вложенная структура AffectedRecord
Поле |
Тип данных |
Описание |
|
Строка |
Идентификатор актива или учетной записи. |
|
Число |
Количество раз актив или учетная запись фигурирует в связанных с алертом событиях. |
Модель данных алерта
В этом разделе описана модель данных алерта KUMA. Алерты создаются корреляторами при выявлении с помощью правил корреляции угроз безопасности информации. Алерты необходимо расследовать для устранения этих угроз.
Поле алерта |
Тип данных |
Описание |
|
Строка |
Уникальный идентификатор алерта. |
|
Строка |
Идентификатор тенанта, которому принадлежит алерт. Значение наследуется от коррелятора, создавшего алерт. |
|
Строка |
Название тенанта. |
|
Строка |
Идентификатор правила, на основании которого был создан алерт. |
|
Строка |
Название правила корреляции, на основании которого был создан алерт. |
|
Строка |
Статус алерта. Возможные значения:
|
|
Число |
Уровень важности алерта. Возможные значения:
|
|
Строка |
Параметр, показывающий, как был определен уровень важности алерта. Возможные значения:
|
|
Число |
Время создания первого корреляционного события из алерта. |
|
Число |
Время создания последнего корреляционного события из алерта. |
|
Число |
Дата последнего изменения параметров алерта. |
|
Строка |
Идентификатор пользователя KUMA, которому алерт назначен на рассмотрение. |
|
Строка |
Имя пользователя KUMA, которому алерт назначен на рассмотрение. |
|
Вложенный список строк |
Перечень полей событий, по которым группировались событий в правиле корреляции. |
|
Строка |
Причина закрытия алерта. Возможные значения:
|
|
Строка |
Признак, обозначающий что алерт переполнен, то есть размер алерта и привязанных к нему событий превышает 16 МБ. Возможные значения:
|
|
Строка |
Максимальный уровень важности категорий активов, связанных с алертом. |
|
Строка |
Идентификатор алерта в программе IRP / SOAR, если в KUMA настроена интеграция с такой программой. |
|
Строка |
Ссылка на раздел в программе IRP / SOAR, в котором отображаются сведения об импортированном из KUMA алерте. |
|
Строка |
Идентификатор инцидента, к которому привязан алерт. |
|
Строка |
Название инцидента, к которому привязан алерт. |
|
Строка |
Название правила сегментации, по которому корреляционные события сгруппированы в алерте. |
|
Строка |
Идентификатор ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA. |
|
Строка |
Название ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA. |
|
Вложенная структура |
Вложенная структура со строками, в которых указаны изменения статусов и назначений алерта, пользовательские комментарии. |
|
Вложенная структура |
Вложенная структура, из которой можно обратиться к связанным с алертом корреляционным событиям. |
|
Вложенная структура |
Вложенная структура, из которой можно обратиться к связанным с алертом активам. |
|
Вложенная структура |
Вложенная структура, из которой можно обратиться к связанным с алертом учетным записям. |
|
Вложенная структура |
Вложенная структура, из которой можно обратиться к связанным с алертам активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта. |
Вложенная структура Affected
Поле |
Тип данных |
Описание |
|
Вложенный список |
Перечень и количество связанных с алертом активов. |
|
Вложенный список |
Перечень и количество связанных с алертом учетных записей. |
Вложенная структура AffectedRecord
Поле |
Тип данных |
Описание |
|
Строка |
Идентификатор актива или учетной записи. |
|
Число |
Количество раз актив или учетная запись фигурирует в связанных с алертом событиях. |
Вложенная структура EventWrapper
Поле |
Тип данных |
Описание |
|
Вложенная структура |
Поля события. |
|
Строка |
Комментарий, добавленный при добавлении событий к алерту. |
|
Число |
Дата добавления событий к алерту. |
Вложенная структура Action
Поле |
Тип данных |
Описание |
|
Число |
Дата, когда действие над алертом было произведено. |
|
Строка |
Идентификатор пользователя. |
|
Строка |
Тип действия. |
|
Строка |
Значение. |
|
Вложенная структура |
Поля события. |
|
Строка |
Идентификатор кластера. |
Модель данных актива
Структура актива представлена полями, в которых содержатся значения. Поля также могут содержать вложенные структуры.
Поле актива |
Тип значения |
Описание |
|
Строка |
Идентификатор актива. |
|
Строка |
Название тенанта. |
|
Число |
Дата удаления актива. |
|
Число |
Дата создания актива. |
|
Строка |
Идентификатор тенанта. |
|
Вложенный список строк |
Категории актива. |
|
Вложенная структура |
Изменение категорий актива. |
|
Вложенный словарь:
|
Идентификаторы инцидентов. |
|
Вложенный список строк |
IP-адреса актива. |
|
Строка |
FQDN актива. |
|
Число |
Уровень важности актива. |
|
Строка со значениями |
Помечен ли актив на удаление из KUMA. |
|
Число |
Дата последнего обновления актива. |
|
Вложенный список строк |
MAC-адреса актива. |
|
Вложенный список чисел |
IP-адрес в виде числа. |
|
Вложенная структура |
Сведения о владельце актива. |
|
Вложенная структура |
Сведения об операционной системы актива. |
|
Строка |
Название актива. |
|
Вложенная структура |
ПО, установленное на активе. |
|
Вложенная структура |
Уязвимости актива. |
|
Строка |
IP-адрес сервера KICS for Networks. |
|
Число |
Идентификатор коннектора KICS for Networks. |
|
Число |
Идентификатор актива в KICS for Networks. |
|
Строка |
Статус актива актива в KICS for Networks. |
|
Вложенная структура |
Аппаратные сведения об активе, полученные из KICS for Networks. |
|
Вложенная структура |
Сведения о ПО актива, полученные из KICS for Networks. |
|
Вложенная структура |
Сведения об уязвимостях актива, полученные из KICS for Networks. |
|
Вложенная структура |
Основные сведения об активе, поступавшие из разных источников. |
|
Строка со значениями |
Индикатор, указывающий, что сведения об активе импортированы из KSC. |
|
Строка |
Идентификатор агента KSC, от которого получены сведения об активе. |
|
Строка |
FQDN сервера KSC. |
|
Строка |
Идентификатор экземпляра KSC. |
|
Строка |
Имя хоста сервера KSC. |
|
Число |
Идентификатор группы KSC. |
|
Строка |
Название группы KSC. |
|
Число |
Дата, когда от KSC в последний раз были получены сведения об активе. |
|
Вложенный словарь:
|
Сведения об установленных на активе приложениях Kaspersky, полученные из KSC. |
|
Вложенная структура |
Аппаратные сведения об активе, полученные из KSC. |
|
Вложенная структура |
Сведения о ПО актива, полученные из KSC. |
|
Вложенная структура |
Сведения об уязвимостях актива, полученные из KSC. |
Вложенная структура Category
Поле |
Тип значения |
Описание |
|
Строка |
Идентификатор категории. |
|
Строка |
Идентификатор тенанта. |
|
Строка |
Название тенанта. |
|
Строка |
Родительская категория. |
|
Вложенный список строк |
Структура категорий. |
|
Строка |
Название категории. |
|
Число |
Последнее обновление категории. |
|
Число |
Дата создания категории. |
|
Строка |
Описание категории. |
|
Число |
Уровень важности категории. |
|
Строка |
Тип присвоения категории активам. |
|
Число |
Дата категоризации. |
|
Строка |
Интервал присвоения категорий. |
Вложенная структура OwnerInfo
Поле |
Тип значения |
Описание |
|
Строка |
Имя владельца актива. |
Вложенная структура OS
Поле |
Тип значения |
Описание |
|
Строка |
Название операционной системы. |
|
Число |
Версия операционной системы. |
Вложенная структура Software
Поле |
Тип значения |
Описание |
|
Строка |
Название ПО. |
|
Строка |
Версия ПО. |
|
Строка |
Издатель ПО. |
|
Строка |
Дата установки. |
|
Строка |
Признак, имеет ли ПО MSI-установщик. |
Вложенная структура Vulnerability
Поле |
Тип значения |
Описание |
|
Строка |
Идентификатор уязвимости, присвоенный Kaspersky. |
|
Строка |
Название ПО. |
|
Строка |
URL с описанием уязвимости. |
|
Строка |
Рекомендуемое обновление. |
|
Строка |
Рекомендуемое обновление. |
|
Строка |
Уровень важности уязвимости. |
|
Число |
Уровень важности уязвимости. |
|
Вложенный список строк |
Идентификатор уязвимости CVE. |
|
Строка |
Существует ли эксплойт. |
|
Строка |
Существует ли вредоносная программа. |
Вложенная структура KICSSystemInfo
Поле |
Тип значения |
Описание |
|
Строка |
Модель устройства. |
|
Строка |
Версия устройства. |
|
Строка |
Производитель. |
Вложенная структура KICSRisk
Поле |
Тип значения |
Описание |
|
Число |
Идентификатор риска KICS for Networks. |
|
Строка |
Название риска. |
|
Строка |
Тип риска. |
|
Строка |
Описание риска. |
|
Строка |
Ссылка на описание риска. |
|
Число |
Уровень важности риска. |
|
Число |
Оценка CVSS. |
Вложенная структура Sources
Поле |
Тип значения |
Описание |
|
Вложенная структура |
Сведения об активе, поступившие из KSC. |
|
Вложенная структура |
Сведения об активе, поступившие через REST API. |
|
Вложенная структура |
Сведения об активе, введенные вручную. |
|
Вложенная структура |
Сведения об активе, поступившие из KICS for Networks. |
Вложенная структура Sources
Поле |
Тип значения |
Описание |
|
Вложенный список строк |
MAC-адреса актива. |
|
Вложенный список чисел |
IP-адрес в виде числа. |
|
Вложенная структура |
Сведения о владельце актива. |
|
Вложенная структура |
Сведения об операционной системы актива. |
|
Строка |
Название актива. |
|
Вложенный список строк |
IP-адреса актива. |
|
Строка |
FQDN актива. |
|
Число |
Уровень важности актива. |
|
Строка со значениями |
Помечен ли актив на удаление из KUMA. |
|
Число |
Дата последнего обновления актива. |
Вложенная структура ProductInfo
Поле |
Тип значения |
Описание |
|
Строка |
Версия ПО. |
|
Строка |
Название ПО. |
Вложенная структура Hardware
Поле |
Тип значения |
Описание |
|
Вложенная структура |
Перечень сетевых карт актива. |
|
Вложенная структура |
Перечень процессоров актива. |
|
Вложенная структура |
Перечень ОЗУ актива. |
|
Вложенная структура |
Перечень дисков актива. |
Вложенная структура NetCard
Поле |
Тип значения |
Описание |
|
Строка |
Идентификатор сетевой карты. |
|
Вложенный список строк |
MAC-адреса сетевой карты. |
|
Строка |
Название сетевой карты. |
|
Строка |
Производитель сетевой карты. |
|
Строка |
Версия драйвера. |
Вложенная структура RAM
Поле |
Тип значения |
Описание |
|
Строка |
Частота ОЗУ. |
|
Число |
Объем ОЗУ в байтах. |
Вложенная структура CPU
Поле |
Тип значения |
Описание |
|
Строка |
Идентификатор процессора. |
|
Строка |
Название процессора. |
|
Строка |
Количество ядер. |
|
Строка |
Частота. |
Вложенная структура Disk
Поле |
Тип значения |
Описание |
|
Число |
Свободное пространство на диске. |
|
Число |
Общее пространство на диске. |
Модель данных учетной записи
К полям учетной записи можно обращаться из шаблонов электронной почты, а также при корреляции событий.
Поле |
Тип значения |
Описание |
|
Строка |
Идентификатор учетной записи. |
|
Строка |
Атрибут Active Directory. Идентификатор учетной записи в Active Directory. |
|
Строка |
Идентификатор тенанта. |
|
Строка |
Название тенанта. |
|
Число |
Последнее обновление учетной записи. |
|
Строка |
Домен. |
|
Строка |
Атрибут Active Directory. Имя пользователя. |
|
Строка |
Атрибут Active Directory. Отображаемое имя пользователя. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Атрибут Active Directory. Название объекта LDAP. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Атрибут Active Directory. Идентификатор сотрудника. |
|
Строка |
Атрибут Active Directory. Электронная почта пользователя. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Атрибут Active Directory. Альтернативный адрес электронной почты. |
|
Строка |
Атрибут Active Directory. Номер мобильного телефона. |
|
Строка |
Атрибут Active Directory. Идентификатор безопасности. |
|
Строка |
Атрибут Active Directory. Логин. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Атрибут Active Directory. Номер телефона. |
|
Строка |
Атрибут Active Directory. Имя участника-пользователя. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Признак, определяющий, является ли учетная запись устаревшей. |
|
Список строк |
Атрибут Active Directory. Группы AD, в которые внесен пользователь. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Признак, определяющий, требуется ли обозначить учетную запись как устаревшую. |
|
Число |
Дата создания учетной записи. |
|
Строка |
Атрибут Active Directory. Фамилия пользователя. По этому атрибуту события можно искать при корреляции. |
|
Строка |
Атрибут Active Directory. Тип учетной записи. |
|
Строка |
Атрибут Active Directory. Должность пользователя. |
|
Строка |
Атрибут Active Directory. Подразделение пользователя. |
|
Строка |
Атрибут Active Directory. Отдел пользователя. |
|
Строка |
Атрибут Active Directory. Руководитель пользователя. |
|
Строка |
Атрибут Active Directory. Местоположение пользователя. |
|
Строка |
Атрибут Active Directory. Компания пользователя. |
|
Строка |
Атрибут Active Directory. Адрес компании. |
|
Строка |
Атрибут Active Directory. Адрес для доставки. |
|
Список строк |
Атрибут Active Directory. Объекты, находящиеся под управлением пользователя. |
|
Число |
Атрибут Active Directory. Тип учетной записи AD. По этому атрибуту события можно искать при корреляции. |
|
Число |
Атрибут Active Directory. Дата создания учетной записи. |
|
Число |
Атрибут Active Directory. Дата изменения учетной записи. |
|
Число |
Атрибут Active Directory. Дата истечения срока учетной записи. |
|
Число |
Атрибут Active Directory. Дата последней неудачной попытки входа в систему. |
Поля событий аудита
События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы. Этот раздел содержит информацию о полях событий аудита.
Поля событий с общей информацией
Каждое событие аудита имеет поля событий, описанные ниже.
Название поля события |
Значение поля |
ID |
Уникальный идентификатор события в виде UUID. |
Timestamp |
Время события. |
DeviceHostName |
Хост источника события. Для событий аудита это имя хоста, на котором установлена служба kuma-core, потому что она является источником событий. |
DeviceTimeZone |
Часовой пояс системного времени сервера, на котором установлено Ядро KUMA в формате +- |
Type |
Тип события аудита. Событию аудита соответствует значение |
TenantID |
Идентификатор главного тенанта. |
DeviceVendor |
|
DeviceProduct |
|
EndTime |
Время создания события. |
Пользователь успешно вошел в систему или не смог войти
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя. |
SourceUserID |
Идентификатор пользователя. |
Message |
Описание ошибки; появляется только в том случае, если при входе в систему произошла ошибка. В противном случае поле будет пустым. |
Логин пользователя успешно изменен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для изменения данных. |
SourceUserID |
ID пользователя, который использовался для изменения данных. |
DestinationUserName |
Логин пользователя, данные которого были изменены. |
DestinationUserID |
ID пользователя, данные которого были изменены. |
DeviceCustomString1 |
Текущее значение логина. |
DeviceCustomString1Label |
|
DeviceCustomString2 |
Значение логина до его изменения. |
DeviceCustomString2Label |
|
Роль пользователя успешно изменена
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для изменения данных. |
SourceUserID |
ID пользователя, который использовался для изменения данных. |
DestinationUserName |
Логин пользователя, данные которого были изменены. |
DestinationUserID |
ID пользователя, данные которого были изменены. |
DeviceCustomString1 |
Текущее значение роли. |
DeviceCustomString1Label |
|
DeviceCustomString2 |
Значение роли до ее изменения. |
DeviceCustomString2Label |
|
Другие данные пользователя успешно изменены
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для изменения данных. |
SourceUserID |
ID пользователя, который использовался для изменения данных. |
DestinationUserName |
Логин пользователя, данные которого были изменены. |
DestinationUserID |
ID пользователя, данные которого были изменены. |
Пользователь успешно вышел из системы
Это событие создается только тогда, когда пользователь нажимает кнопку выхода.
Это событие не создается, если пользователь покидает систему из-за окончания сеанса или если пользователь снова входит в систему из другого браузера.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя. |
SourceUserID |
Идентификатор пользователя. |
Пароль пользователя успешно изменен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для изменения данных. |
SourceUserID |
ID пользователя, который использовался для изменения данных. |
DestinationUserName |
Логин пользователя, данные которого были изменены. |
DestinationUserID |
ID пользователя, данные которого были изменены. |
Пользователь успешно создан
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для создания учетной записи. |
SourceUserID |
Идентификатор пользователя, который использовался для создания учетной записи. |
DestinationUserName |
Логин пользователя, для которого была создана учетная запись. |
DestinationUserID |
Идентификатор пользователя, для которого была создана учетная запись. |
DeviceCustomString1 |
Роль созданного пользователя. |
DeviceCustomString1Label |
|
Токен доступа пользователя успешно изменен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для изменения данных. |
SourceUserID |
Идентификатор пользователя, который использовался для изменения данных. |
DestinationUserName |
Логин пользователя, данные которого были изменены. |
DestinationUserID |
Идентификатор пользователя, данные которого были изменены. |
Сервис успешно создан
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для создания сервиса. |
SourceUserID |
Идентификатор пользователя, который использовался для создания сервиса. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Сервис успешно удален
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления сервиса. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления сервиса. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DestinationAddress |
Адрес машины, с которой был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым. |
DestinationHostName |
Полное доменное имя компьютера, с которого был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Сервис успешно перезагружен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для перезагрузки сервиса. |
SourceUserID |
Идентификатор пользователя, который использовался для перезагрузки сервиса. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Сервис успешно перезапущен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для перезапуска сервиса. |
SourceUserID |
Идентификатор пользователя, который использовался для перезапуска сервиса. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Сервис успешно запущен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, который сообщил информацию о запуске сервиса. Это может быть адрес прокси-сервера, если информация передается через прокси. |
SourcePort |
Порт, передавший информацию о запуске сервиса. Это может быть порт прокси-сервера, если информация передается через прокси. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DestinationAddress |
Адрес машины, на которой был запущен сервис. |
DestinationHostName |
Полное доменное имя машины, на которой был запущен сервис. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Сервис успешно сопряжен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого был отправлен запрос на сопряжение сервисов. Это может быть адрес прокси-сервера, если запрос передается через прокси. |
SourcePort |
Порт, отправивший запрос на сопряжение сервисов. Это может быть порт прокси-сервера, если запрос передается через прокси. |
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Статус сервиса изменен
Название поля события |
Значение поля |
DeviceAction |
|
DeviceExternalID |
ID сервиса. |
DeviceProcessName |
Название сервиса. |
DeviceFacility |
Тип сервиса. |
DestinationAddress |
Адрес машины, на которой был запущен сервис. |
DestinationHostName |
Полное доменное имя машины, на которой был запущен сервис. |
DeviceCustomString1 |
|
DeviceCustomString1Label |
|
DeviceCustomString2 |
|
DeviceCustomString2Label |
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Раздел хранилища удален пользователем
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления. |
Name |
Имя индекса. |
Message |
|
Раздел хранилища автоматически удален в связи с истечением срока действия
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
Name |
Имя индекса |
SourceServiceName |
|
Message |
|
Активный лист успешно очищен или операция завершилась с ошибкой
Событию может быть присвоен статус succeeded или failed.
Поскольку запрос на очистку активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.
Это означает, что активный лист может быть очищен успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли очищен активные лист.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для очистки активного листа. |
SourceUserID |
Идентификатор пользователя, который использовался для очистки активного листа. |
DeviceExternalID |
Идентификатор сервиса, активные лист которого был очищен. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
Message |
Если EventOutcome = |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
tenant ID |
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
tenant name |
Элемент активного листа успешно удален или операция завершилась с ошибкой
Cобытию может быть присвоен статус succeeded или failed.
Поскольку запрос на удаление элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.
Это означает, что элемент активного листа может быть удален успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли удален элемент активного листа.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления элемента активного листа. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления элемента активного листа. |
DeviceExternalID |
Идентификатор сервиса, активный лист которого был очищен. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
DeviceCustomString1 |
Название ключа. |
DeviceCustomString1Label |
|
Message |
Если EventOutcome = |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Активный лист успешно импортирован или операция завершилась с ошибкой
Импорт элементов активного листа выполняется по частям через удаленное подключение.
Поскольку импорт осуществляется через удаленное соединение, ошибка передачи данных может произойти в любой момент: когда данные частично или полностью импортированы. EventOutcome возвращает статус подключения, а не статус проверки импорта.
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для выполнения импорта. |
SourceUserID |
Идентификатор пользователя, который использовался для импорта. |
DeviceExternalID |
Идентификатор сервиса, для которого был выполнен импорт. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
Message |
Если EventOutcome = |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
название тенанта |
DeviceCustomString6Label |
|
Активный лист успешно экспортирован
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для выполнения экспорта. |
SourceUserID |
Идентификатор пользователя, который использовался для экспорта. |
DeviceExternalID |
Идентификатор сервиса, для которого был выполнен экспорт. |
ExternalID |
Идентификатор активного листа. |
Name |
Название активного листа. |
DeviceCustomString5 |
Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
название тенанта |
DeviceCustomString6Label |
|
Ресурс успешно добавлен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для добавления ресурса. |
SourceUserID |
Идентификатор пользователя, который использовался для добавления ресурса. |
DeviceExternalID |
Идентификатор ресурса. |
DeviceProcessName |
Название ресурса. |
DeviceFacility |
Тип ресурса:
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Ресурс успешно удален
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления ресурса. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления ресурса. |
DeviceExternalID |
Идентификатор ресурса. |
DeviceProcessName |
Название ресурса. |
DeviceFacility |
Тип ресурса:
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Ресурс успешно обновлен
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для обновления ресурса. |
SourceUserID |
Идентификатор пользователя, который использовался для обновления ресурса. |
DeviceExternalID |
Идентификатор ресурса. |
DeviceProcessName |
Название ресурса. |
DeviceFacility |
Тип ресурса:
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Актив успешно создан
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для добавления актива. |
SourceUserID |
Идентификатор пользователя, который использовался для добавления актива. |
DeviceExternalID |
Идентификатор актива. |
SourceHostName |
Идентификатор актива. |
Name |
Название актива. |
DeviceCustomString1 |
Разделенные запятыми IP-адреса актива. |
DeviceCustomString1Label |
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Актив успешно удален
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для добавления актива. |
SourceUserID |
Идентификатор пользователя, который использовался для добавления актива. |
DeviceExternalID |
Идентификатор актива. |
SourceHostName |
Идентификатор актива. |
Name |
Название актива. |
DeviceCustomString1 |
Разделенные запятыми IP-адреса актива. |
DeviceCustomString1Label |
|
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Категория актива успешно добавлена
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для добавления категории. |
SourceUserID |
Идентификатор пользователя, который использовался для добавления категории. |
DeviceExternalID |
Идентификатор категории. |
Name |
Название категории. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Категория актива успешно удалена
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для удаления категории. |
SourceUserID |
Идентификатор пользователя, который использовался для удаления категории. |
DeviceExternalID |
Идентификатор категории. |
Name |
Название категории. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|
Параметры успешно обновлены
Название поля события |
Значение поля |
DeviceAction |
|
EventOutcome |
|
SourceTranslatedAddress |
Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым. |
SourceAddress |
Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес. |
SourcePort |
Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси. |
SourceUserName |
Логин пользователя, который использовался для обновления параметров. |
SourceUserID |
Идентификатор пользователя, который использовался для обновления параметров. |
DeviceFacility |
Тип параметров. |
DeviceCustomString5 |
Идентификатор тенанта. |
DeviceCustomString5Label |
|
DeviceCustomString6 |
Название тенанта. |
DeviceCustomString6Label |
|