Настройка аудита компонентов DSS

Аудит компонентов КриптоПро DSS производится при помощи службы AuditWriter, которая автоматически создается при разворачивании экземпляра Сервиса Аудита. Настройка данной службы доступна для следующих компонентов КриптоПро DSS:

• Центр Идентификации;
• Сервис Подписи;
• Сервис Обработки Документов.

Для того, чтобы начать записывать в БД Сервиса Аудита события аудита выбранного компонента, необходимо включить для него аудит и зарегистрировать соответствующие плагины конвертации событий аудита и модули оповещения (доставки) этих событий в БД Сервиса Аудита. Данные действия выполняются при помощи следующих командлетов:

• New-DssStsAudit - для Центра Идентификации;
• New-DssSignServerAudit - для Сервиса Подписи;
• New-DssDocumentStoreAudit - для Сервиса Обработки Документов.

Примечание

Все параметры описываемых в данном разделе командлетов New-Dss...Audit одинаковы для каждого из компонентов. Поэтому пример разворачивания приводится для одного из них.

• Пример настройки аудита

Предварительные условия:

• Установленные и настроенные компоненты КриптоПро DSS, для которых требуется выполнять аудит (список доступных к аудиту компонентов см. выше).
• Установленный и настроенный в соответствии со сценарием настройки экземпляр Сервиса Аудита.

Базовая последовательность шагов по настройке (обязательные)

1. Включение аудита для экземпляра компонента КриптоПро DSS, регистрация необходимых плагинов и модулей оповещения (выполняется в одно действие).

Данный шаг производится для каждого из компонентов, которым требуется аудит, при помощи командлета (например) New-DssStsAudit. При этом необходимо указать следующие параметры:

• -DisplayName - имя экземпляра компонента, для которого настраивается аудит.
• -AuditServiceAddress - URL-адрес Сервиса Аудита. Формат адреса: http://<hostname>/<analyticsAppName>/api/writer).
• -Settings - параметры регистрируемого модуля оповещения. Формат словаря: @{"<Имя параметра 1>"="<Значение параметра 1>"; "<Имя параметра 2>"="<Значение параметра 2>"; ...; "<Имя параметра N>"="<Значение параметра N>"}.
• -UseRestApi - 1 или $true означает, что использование REST API для взаимодействия с Сервисом Аудита включено.

Параметр -Settings является опциональным. Однако рекомендуется настроить путь для резервирования канала записи сообщений аудита при помощи настройки FolderPath:

-Settings @{"FolderPath"="<Путь к файлу>\"}

Данная настройка позволяет сохранить недоставленные события аудита в файл, откуда их потом можно импортировать в БД Сервиса Аудита.

Параметр -UseRestApi не использовался для версий DSS 2.0.3284 и более ранних, т.к. данные версии работали по протоколу SOAP для взаимодействия с Сервисом Аудита. Рекомендуется удалить и зарегистрировать заново такие модули записей событий аудита с использованием REST API, как это описано выше. При этом чтобы не потерять возможность записывать события аудита во время настройки, следует остановить обращения к компонентам DSS либо, если DSS работает в кластере, выполнить настройку на неактивных узлах, после чего перезагрузить пулы приложений на активных узлах.

Пример настройки аудита

Данный сценарий включает аудит Сервиса Подписи КриптоПро DSS с настроенным резервированием канала записи сообщения аудита.

New-DssSignServerAudit -AuditServiceAddress http://hostname/Analytics/api/writer -Settings @{"FolderPath"="C:\tmp\"} -UseRestApi $true
New-DssStsAudit -AuditServiceAddress http://hostname/Analytics/api/writer -Settings @{"FolderPath"="C:\tmp\"} -UseRestApi $true
New-DssDocumentStoreAudit -AuditServiceAddress http://hostname/Analytics/api/writer -Settings @{"FolderPath"="C:\tmp\"} -UseRestApi $true

Дополнительные действия по настройке (опциональные)

1. Включение/отключение блокирующего аудита.

Данная настройка выполняется при при помощи параметра -UseBlockingAudit <1/0> командлета (например) New-DssStsAudit или командлета (например) Set-DssStsAudit.

Примечание

Включение блокирующего аудита создает новый словарь настроек модуля оповещения (см. п. 2). После переключения службы в режим блокирующего аудита необходимо убедиться, что настройки были перенесены. Для вывода всех настроек, записанных в -Settings можно выполнить следующую команду:

(Get-Dss**Audit -DisplayName <name>).Settings | fl

Внимание!

Настройка FolderPath (т.е. резервирование записей аудита) при включенном блокирующем аудите игнорируется. Резервирование не будет производиться.

2. Изменение параметров модуля оповещения службы аудита компонента.

Параметры модуля оповещения службы аудита компонента можно изменить при помощи словаря -Settings командлета (например) Set-DssStsAudit. Полный список доступных настроек:

• MinQueueSize – приемлемый размер очереди сообщений. При превышении заданного значения обработчики будут забирать сообщения из очереди без паузы до момента уменьшения размера очереди ниже данного значения. По умолчанию параметр равен 100.
• MaxQueueSize – максимальный размер очереди. При достижении максимального размера очереди отправка новых сообщений блокируется, до момента снижения размера очереди ниже данного значения. По умолчанию параметр равен 10000.
• TimerInterval – интервал времени опроса очереди сообщений в мс. По умолчанию параметр равен 500.
• TTL – количество повторных попыток отправки сообщения, при возникновении ошибок. По умолчанию параметр равен 3.
• MessageWindow – количество сообщений, забираемых из очереди для отправки за один раз. По умолчанию параметр равен 1.
• ThreadCount – количество обработчиков очереди сообщений. По умолчанию равен 1.
• Enabled – состояние компонента для рассылки сообщений: включен/отключен. По умолчанию включен.
• FolderPath – путь к папке, в которой будет создан файл с недоставленными записями аудита.