Фильтрация и запрос действий пользователей

На панели мониторинга Аудит в системе управления разрешениями подробно описаны все действия пользователей, выполненные в системе авторизации. Она фиксирует все действия с высоким риском в централизованном расположении и позволяет системным администраторам запрашивать журналы. Панель мониторинга Аудит позволяет выполнять следующие задачи.

• Создание и сохранение новых запросов для упрощения доступа к ключевым точкам данных.
• Обращение к нескольким системам авторизации в одном запросе.

Фильтрация сведений по системе авторизации

Если фильтры ранее не использовались, фильтр по умолчанию будет первой системой авторизации в списке фильтров.

Если ранее использовались фильтры, фильтром по умолчанию является последний выбранный фильтр.

1. Чтобы отобразить панель мониторинга Аудит, на домашней странице управления разрешениями выберите Аудит.

2. Чтобы выбрать тип системы авторизации, в поле Тип системы авторизации выберите Amazon Web Services (AWS), Microsoft Azure (Azure), Google Cloud Platform (GCP) или платформу (Платформа).

3. Чтобы выбрать систему авторизации, в поле Система авторизации выполните следующее:

   • В подобласти Список выберите учетные записи, которые вы хотите использовать.
   • В подобласти Папки выберите каталоги, которые вы хотите использовать.

4. Чтобы просмотреть результаты запроса, нажмите кнопку Применить.

Создание, просмотр, изменение или удаление запроса

Существует несколько различных параметров запроса, которые можно настроить по отдельности или в сочетании. Параметры запроса и соответствующие инструкции перечислены в следующих разделах.

• Чтобы создать новый запрос, выберите Создать запрос.

• Чтобы просмотреть существующий запрос, выберите Просмотр (значок глаза).

• Чтобы изменить существующий запрос, щелкните Изменить (значок карандаша).

• Чтобы удалить строку функции в запросе, выберите Удалить (значок со знаком "минус" -).

• Чтобы создать несколько запросов одновременно, выберите Добавить новую вкладку справа от отображаемых вкладок запросов.

  Одновременно можно открыть не более шести страниц вкладок запросов. Сообщение появляется при достижении максимального значения.

Создание запроса с конкретными параметрами

Создание запроса с датой

1. В разделе Новый запрос отображаемым параметром по умолчанию является дата в графе "Последний день".

   Параметр первой строки всегда по умолчанию имеет значение Дата и не может быть удален.

2. Чтобы изменить сведения о дате, щелкните Изменить (значок карандаша).

   Чтобы просмотреть сведения о запросе, выберите Просмотр (значок глаза).

3. Выберите Оператор, а затем выберите один из перечисленных вариантов.

   • В пределах: выберите этот параметр, чтобы задать диапазон времени от 1 дня до 1 года.
   • Имеет значение: выберите этот параметр, чтобы выбрать конкретную дату в календаре.
   • Пользовательский: выберите этот параметр, чтобы задать диапазон дат, используя календари С и ПО.

4. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

5. Чтобы сохранить запрос, нажмите кнопку Сохранить.

   Чтобы очистить последние параметры, нажмите кнопку Сброс.

Просмотр параметров операторов для удостоверений

В меню Оператор отображаются следующие параметры в зависимости от удостоверения, выбранного в первом раскрывающемся списке.

• Имеет значение / Значение не равно: просмотр списка всех доступных имен пользователей. Можно либо выбрать, либо ввести имя пользователя в поле.
• Содержит / Не содержит: введите текст, который Имя пользователя должно или не должно содержать, например Управление разрешениями.
• В пределах / Не в пределах: для просмотра списка всех доступных имен пользователей и выбора нескольких имен пользователей.

Создание запроса с именем пользователя

1. В разделе Новый запрос выберите Добавить.

2. Выберите пункт Имя пользователя в меню.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

   Можно изменить операцию на логическое И / логическое ИЛИ и выбрать другие критерии. Например, первым набором выбранных критериев может быть Имеет значение с именем пользователя Test.

5. Нажмите знак "плюс" (+), выберите операцию Или вместе с параметром Содержит, а затем введите имя пользователя, например Управление разрешениями.

6. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

7. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

8. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с именем ресурса

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Имя ресурса.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

   Можно изменить операцию на логическое И / логическое ИЛИ и выбрать другие критерии. Например, первым набором выбранных критериев может быть Имеет значение с именем ресурса Test.

5. Нажмите знак "плюс" (+), выберите операцию Или вместе с параметром Содержит, а затем введите имя пользователя, например Управление разрешениями.

6. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

7. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

8. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с типом ресурса

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Тип ресурса.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым набором выбранных критериев может быть Имеет значение с типом ресурса s3::bucket.

6. Нажмите знак "плюс" (+), выберите Или и Имеет значение, а затем введите или выберите ec2::instance.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с именем задачи

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Имя задачи.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым набором выбранных критериев может быть Имеет значение с именем задачи s3:CreateBucket.

6. Нажмите Добавить, выберите критерии Или и Имеет значение, а затем введите или выберите ec2:TerminateInstance.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса со значением состояния

1. В разделе Новый запрос выберите Добавить.

2. Выберите пункт Состояние в меню.

3. В меню Оператор выберите требуемый параметр.

   • Имеет значение / Значение не равно: позволяет пользователю осуществить выбор в поле со значением одного из следующих вариантов: Сбой авторизации, Ошибка и Выполнено.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым выбранным набором критериев может быть Имеет значение с состоянием Сбой авторизации.

6. Щелкните значок Добавить, выберите критерии Или и Имеет значение, а затем выберите Успех.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с именем роли

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Имя роли.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым заданным набором критериев может быть Содержит с произвольным текстом Test.

6. Щелкните значок Добавить, выберите Или и Содержит, а затем введите критерии, например Управление разрешениями.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с именем сеанса роли

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Имя сеанса роли.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым заданным набором критериев может быть Содержит с произвольным текстом Test.

6. Щелкните значок Добавить, выберите Или и Содержит, а затем введите критерии, например Управление разрешениями.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с идентификатором ключа доступа

1. В разделе Новый запрос выберите Добавить.

2. В меню выберите Идентификатор ключа доступа.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым заданным набором критериев может быть Содержит с произвольным значением AKIAIFXNDW2Z2MPEH5OQ.

6. Щелкните значок "Добавить", выберите "Или не содержит", а затем введите .AKIAVP2T3XG7JUZRM7WU

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса с ключом тега

1. В разделе Новый запрос выберите Добавить.

2. Выберите пункт Ключ тега в меню.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым наборов критериев может быть Имеет значение, а затем введенное или выбранное значение Test.

6. Щелкните значок Добавить, выберите Или и Имеет значение, а затем введите критерии, например Управление разрешениями.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Создание запроса со значением ключа тега

1. В разделе Новый запрос выберите Добавить.

2. Выберите пункт Значение ключа тега в меню.

3. В меню Оператор выберите требуемый параметр.

4. Чтобы добавить критерии в этот раздел, нажмите кнопку Добавить.

5. Измените операцию на логическое И / логическое ИЛИ и выберите другие критерии. Например, первым наборов критериев может быть Имеет значение, а затем введенное или выбранное значение Test.

6. Щелкните значок Добавить, выберите Или и Имеет значение, а затем введите критерии, например Управление разрешениями.

7. Чтобы удалить строку условий, выберите Удалить (значок со знаком "минус" -).

8. Чтобы выполнить запрос в текущем выделенном фрагменте, выберите Поиск.

9. Чтобы очистить последние параметры, нажмите кнопку Сброс.

Просмотреть результаты запроса

1. В таблице действий результаты запроса отображаются в столбцах.

   В результатах отображаются все выполненные задачи, которые не являются доступными только для чтения.

2. Чтобы отсортировать каждый столбец по возрастанию или по убыванию, щелкните стрелку вверх или вниз рядом с именем столбца.

   • Сведения об удостоверении: имя удостоверения, например имя сеанса роли, выполняющей задачу.

     • Чтобы просмотреть сводку по необработанным событиям, в которой отображаются полные сведения о событии, рядом со столбцом Имя выберите Просмотреть.

   • Имя ресурса: имя ресурса, в котором выполняется задача.

     Если в столбце отображается значение Несколько, это означает, что в столбце перечислено несколько ресурсов.

3. Чтобы просмотреть список всех ресурсов, наведите указатель мыши на слово Несколько.

   • Тип ресурса: отображает тип ресурса, например Ключ (ключ шифрования) или Контейнер (хранилище).

   • Имя задачи: имя задачи, выполняемой удостоверением.

     Восклицательный знак (!) рядом с именем задачи указывает на сбой задачи.

   • Дата: дата выполнения задачи.

   • IP-адрес: IP-адрес, с которого пользователь выполнил задачу.

   • Система авторизации: имя системы авторизации, в которой была выполнена задача.

4. Чтобы загрузить результаты в формате CSV, выберите Скачать.

Сохранение запроса

1. После завершения выбора запроса в разделе Новый запрос нажмите кнопку Сохранить.

2. В поле Имя запроса введите имя запроса и нажмите кнопку Сохранить.

3. Чтобы сохранить запрос с другим именем, нажмите кнопку с многоточием (…) рядом с кнопкой Сохранить, а затем выберите Сохранить как.

4. Выберите запросы в разделе Новый запрос, нажмите кнопку с многоточием (…), а затем выберите Сохранить как.

5. Чтобы сохранить новый запрос, в поле Сохранить запрос введите имя запроса и нажмите кнопку Сохранить.

6. Чтобы сохранить существующий измененный запрос, нажмите кнопку с многоточием (...).

   • Чтобы сохранить измененный запрос с тем же именем, нажмите кнопку Сохранить.
   • Чтобы сохранить измененный запрос под другим именем, нажмите кнопку Сохранить как.

Просмотр сохраненного запроса

1. Откройте Сохраненные запросы, а затем выберите запрос из списка Загрузить запросы.

   Откроется окно сообщения со следующими вариантами действий: Загрузить с сохраненной системой авторизации или Загрузить с выбранной на данный момент системой авторизации.

2. Выберите соответствующий параметр и нажмите кнопку Загрузить запросы.

3. Ниже представлены сведения о запросе.

   • Имя запроса: отображает имя сохраненного запроса.
   • Тип запроса: отображает, имеет ли запрос тип Системный или Пользовательский.
   • Расписание. Отображает частоту создания отчета. Можно запланировать однократный отчет или ежемесячный отчет.
   • Следующий: отображает дату и время создания следующего отчета.
   • Формат: отображает формат выходных данных для отчета, например CSV.
   • Дата последнего изменения: отображает дату последнего изменения запроса.

4. Чтобы просмотреть или задать сведения о расписании, щелкните значок шестеренки, выберите Создать расписание, а затем задайте сведения.

   Если расписание уже создано, щелкните значок шестеренки, чтобы открыть окно Изменение расписания.

   • Повтор: задает частоту повторения отчета.
   • Начать: задает дату получения отчета.
   • В: задает определенное время получения отчета.
   • Формат отчета: выберите тип выходных данных для файла, например CSV.
   • Поделиться отчетом: в этом поле отображается адрес электронной почты пользователя, который создает расписание. Можно добавить другие адреса электронной почты.

5. Выбрав параметры, нажмите Расписание.

Сохраните запрос под другим именем

• Нажмите кнопку с многоточием (...).

  Системные запросы имеют только один вариант.

  • Дублировать: создает дубликат запроса и присваивает файлу имя по шаблону Копия XXX.

  Пользовательские запросы имеют следующие параметры.

  • Переименовать: введите новое имя запроса и нажмите кнопку Сохранить.

  • Delete: удаление сохраненного запроса.

    Откроется окно Удаление запроса, в котором необходимо подтвердить удаление запроса. Выберите Да или Нет.

  • Дублировать: создает дубликат запроса и присваивает ему имя по шаблону Копия XXX.

  • Удалить расписание: удаляет сведения о расписании для этого запроса.

    Этот параметр недоступен, если расписание еще не сохранено.

    Откроется окно Удаление расписания, в котором необходимо подтвердить удаление расписания. Выберите Да или Нет.

Экспорт результатов запроса в виде отчета

• Чтобы экспортировать результаты запроса, выберите Экспорт.

  Система управления разрешениями экспортирует результаты в формате значений с разделителями-запятыми (CSV), в формате PDF или таблицы Open XML Microsoft Excel (XLSX).

Следующие шаги

• Сведения о том, как узнать, как пользователи обращаются к информации, см. в статье Использование запросов для просмотра сведений о доступе пользователей.
• Сведения о создании запроса см. в статье Создание пользовательского запроса.
• Сведения о создании отчета по требованию из запроса см. в разделе Создание отчета по требованию на основе запроса.