Про аналог Windows Event Viewer от команды #ГКАстра (https://habr.com/ru/companies/astralinux/articles/928264/) Разработанная подсистема предназначена для подсчёта входов и уведомлений о не подписанных файлах.

Причины создания:

• Пакет fly-notify-prevlogin в ALSE 1.7.0 показывал недостоверные данные о входах. • Необходимо было уведомлять о запуске неподписанных файлов в режиме замкнутой программной среды.

Задачи и реализация:

• Для статистики входов анализировался лог аудита "/var/log/audit/audit.log". • Уведомления о не подписанных файлах формировались на основе анализа лога "/var/log/kern.log".

Универсальный механизм:

• Создан универсальный механизм отправки уведомлений для разных источников логов. • Используется syslog-ng для объединения, обработки и отправки логов.

Журнал системных событий:

• В ALSE 1.7.2 появился файл "/parsec/log/astra/events" для хранения статистики входов и уведомлений. • Этот файл удобен для масштабирования и обработки только значимых событий.

Формат хранения данных:

• Выбран формат, который удобен для машинного чтения и остаётся читаемым для человека. • Планируется передача данных по сети и интеграция с системами мониторинга.

Архитектура регистрации событий:

• Используется формат JSON для удобства машинного и человеческого восприятия. • Возможность обработки JSON штатными средствами syslog-ng и передачи в системы мониторинга.

Конфигурация событий:

• Разработан собственный формат конфигурации для преобразования исходных логов. • Конфигурация описывает признаки события, обязательные и необязательные параметры. • Конфигурация разделена на конфигурацию по умолчанию и пользовательскую. • События объединяются в группы для удобства управления.

Ядро подсистемы регистрации событий:

• Включает логи и первоисточники, журнал системных событий и статистику авторизаций в формате JSON. • Возможность отправки уведомлений о событиях. • Конфигурация событий и групп событий, набор плагинов и конфигураций для syslog-ng. • Ядро предоставляется пакетом syslog-ng-mod-astra в Astra Linux SE версии 1.8.2.

Административные утилиты:

• Самодиагностика подсистемы: astra-event-diagnostics. • Настройка регистрации событий: fly-admin-events и astra-admin-events. • Просмотр зарегистрированных событий: fly-event-viewer и astra-event-viewer. • Пользовательская служба astra-event-watcher для отправки уведомлений.

Будущие планы:

• Увеличение количества и качества регистрируемых событий. • Улучшение точности и удобства самодиагностики. • Развитие функциональных возможностей утилит администрирования.

Заключение:

• Подсистема уже способна фиксировать более сотни событий от различных компонентов ОС. • Работа над подсистемой стала важным этапом в профессиональном развитии команды.