.. :validated: 3.1.0

Описание типов событий безопасности, связанных с функциями ALD Pro
--------------------------------------------------------------------------------

При работе **ALD Pro** осуществляется журналирование следующих видов событий безопасности, происходящих на контроллере домена и подсистемах:

- события, связанные с идентификацией и аутентификацией пользователей **ALD Pro**;
- события, связанные с управлением учетными записями пользователей **ALD Pro**;
- события, связанные с управлением атрибутами доступа;
- события, связанные с доступом к информации **ALD Pro**;
- события, связанные с изменением параметров настроек **ALD Pro**;
- события, связанные с выполнением процедуры установки/удаления компонентов программного обеспечения;
- события, связанные с выводом информации на печать;
- иные события.

Информация о событиях регистрируется в журналах:

1. в общих для всех подсистем **ALD Pro** журналах событий:

- ``/var/log/syslog`` — глобальный системный журнал событий. Записываются события, произошедшие с момента запуска ОС от различных компонентов (ядра, служб и других компонентов);
- ``/var/log/auth.log`` — журнал событий, содержащий информацию об авторизации пользователей в ОС (удачные и неудачные попытки входа в систему, задействованные механизмы аутентификации и другие события);
- ``/var/log/apt/term.log`` — журнал событий пакетного менеджера apt. В журнал записывается информация при возникновении ошибок при установке пакетов.
- ``/var/log/dpkg.log`` — журнал событий пакетного менеджера dpkg. Содержит информацию обо всех этапах обработки пакетов dpkg (установка, обновление, удаление и другие действия);
- ``/var/log/ipaclient-install.log`` — журнал событий установки клиента **FreeIPA**. Содержит отладочную информацию для диагностирования возможных ошибок, возникших при установке клиентской части **ALD Pro**;
- ``/var/log/aldpro-salt/minion`` — журнал событий salt-minion. Содержит информационные, предупреждающие события и сообщения об ошибках, возникающие при работе **Salt Stack**;
- ``/var/log/zabbix-agent/zabbix_agentd.log`` — журнал событий агента **Zabbix**;
- ``/var/log/sssd/`` — каталог содержит журналы событий службы **SSSD**;

2. на контроллере домена и его репликациях, события дополнительно регистрируются в следующих каталогах и журналах:

- ``/var/log/apache2/access.log`` — журнал доступа веб-сервера Apache. В журнале доступа к серверу записываются все запросы, обработанные сервером;
- ``/var/log/apache2/error.log`` — журнал ошибок веб-сервера Apache. Записывается подробная диагностическая информация и ошибки, возникающие при обработке запросов;
- ``/var/log/ipaserver-install.log`` — журнал событий установки сервера **FreeIPA**. Содержит отладочную информацию для диагностирования возможных ошибок, возникших при установке контроллера домена **ALD Pro**;
- ``/var/log/dirsrv/`` — каталог содержит журналы событий экземпляра службы каталогов dirsrv (например, по пути ``/var/log/dirsrv/slapd-ALD-LOCAL``) и включает в себя следующие журналы:

  * ``access`` — журнал доступа к серверу каталогов. Содержит подробную информацию о клиентских подключениях к каталогу;
  * ``errors`` — журнал ошибок сервера каталогов. Содержит сообщения о транзакциях и операциях сервера каталогов. Это могут быть сообщения об ошибках при неудачных операциях, но они также содержат общую информацию о процессах сервера каталогов и задачах **LDAP**, например, сообщения о запуске сервера, входы в систему и поиск в каталоге, а также информацию о соединении;
  * ``audit`` — журнал аудита фиксирует изменения, внесенные в экземпляр сервера. В отличие от журнала ошибок (errors) и доступа (access), журнал аудита не записывает доступ к экземпляру сервера, поэтому поиск в базе данных не регистрируется. Журнал аудита форматируется иначе, чем журналы доступа и ошибок, и представляет собой файл **LDIF** с отметкой времени;
  * ``security`` — журнал безопасности. Содержит сведения об аутентификации/авторизации к серверу службы каталогов;

- ``/var/log/krb5kdc.log`` — журнал событий сервера Kerberos. Содержит сведения об аутентификации/авторизации;
- ``/var/log/aldpro/``, ``/var/log/rbta-ad`` — каталоги содержит общие журналы событий **ALD Pro**;
- ``/var/log/samba/`` — каталог содержит журналы событий о функционировании служб **Samba**;

3. для подсистемы «Печать» дополнительно доступны журналы событий, находящиеся в каталоге ``/var/log/cups/``:

  * ``access_log`` — журнал доступа веб-сервера cups. В журнале доступа к серверу записываются запросы, обработанные сервером;
  * ``error_log`` — журнал событий планировщика заданий печати. Содержит информационные, предупреждающие события и сообщения об ошибках, возникающие при работе планировщика заданий печати;
  * ``page_log`` — журнал событий, связанный с печатью документов. Содержит информацию о принтере, с которого осуществилась печать, пользователе, количестве отпечатанных страниц и других данных;

4. для подсистемы «Общий доступ к сетевым дискам» дополнительно доступны журналы событий, находящиеся в каталоге ``/var/log/samba/``. Журналы событий содержат сведения о функционировании служб **Samba**;
5. для подсистемы «Мониторинг» дополнительно доступен журнал событий, находящийся в каталоге ``/var/log/zabbix-server``. Файл журнала ``zabbix_server.log`` содержит сведения о функционировании сервера **Zabbix**.