Резервирование канала записи событий аудита
В силу того, что события аудита генерируются и записываются на различных компонентах независимо друг от
друга, для обеспечения непрерывной записи событий необходимо наличие постоянной связи по сети между
источниками событий и Службой Записи событий аудита (AuditWriter.svc
). Ситуации, в которых служба
записи событий аудита может быть недоступной, приводят к потере записей аудита. Для предотвращения
подобного КриптоПро DSS обладает функцией резервирования канала записи сообщений аудита путем записи
недоставленных событий в файл на жестком диске с последующей возможностью импорта этих записей в БД
Сервиса Аудита.
Настройка экспорта недоставленных сообщений аудита
Активация резервного канала записи утерянных сообщений аудита на жесткий диск осуществляется путем
задания параметра -FolderName
модуля оповещения типа «Аудит». Данный параметр можно задать в
командлете New-DssXXXAudit
(XXX = SignServer
, STS
или DocumentStore
) среди параметров модуля
оповещения или же добавить параметр к уже существующему модулю путем вызова командлета
Set-DssXXXAudit
(XXX = SignServer
, STS
или DocumentStore
). Данный параметр задает путь к папке,
в которой будет создан файл с недоставленными записями аудита. Формат имени файла имеет следующий вид:
{product}_{instanceName}_Messages(0).cdm
, где
product
— это тип экземпляра компонента КриптоПро DSS (SignServer
,STS
илиDocumentStore
);instanceName
— имя экземпляра компонента КриптоПро DSS, с которого записываются сообщения аудита.
Пример добавления параметра:
# Получение ID модуля оповещения при помощи командлета Get-DssSignServerNotifier
Get-DssSignServerNotifier
ID : 5
Type : Audit
Settings : {[Enabled, True], [FolderName, C:\tmp], [ThreadCount, 1]}
IsEnabled : True
TransportPlugin : CryptoPro.DSS.PowerShell.Common.Objects.Plugin
MessagePlugin : CryptoPro.DSS.PowerShell.Common.Objects.Plugin
# Назначение параметра -FolderPath
Set-DssSignServerNotifier -NotifierID 5 -Settings @{"FolderPath"="C:\tmp\"}
Примечание
Аналогичным образом резервирование может быть включено для модуля оповещения при его создании:
New-DssSignServerAudit -AuditServiceAddress http://host.name/Analytics/AuditWriter.svc -Settings @{"FolderPath"="C:\tmp\"}
Настройка импорта недоставленных сообщений аудита
По восстановлении связи с компонентом Сервис Аудита и/или его БД. Утерянные и недоставленные сообщения могут быть импортированы в БД из файла, куда велось резервирование, при помощи следующей команды:
Import-SignServerAuditRecords -FilePath <путь>
При этом производится проверка каждого события на возможные дубликаты. Таким образом попадание одного и того же события в БД дважды исключено.