Резервирование канала записи событий аудита

В силу того, что события аудита генерируются и записываются на различных компонентах независимо друг от друга, для обеспечения непрерывной записи событий необходимо наличие постоянной связи по сети между источниками событий и Службой Записи событий аудита (AuditWriter.svc). Ситуации, в которых служба записи событий аудита может быть недоступной, приводят к потере записей аудита. Для предотвращения подобного КриптоПро DSS обладает функцией резервирования канала записи сообщений аудита путем записи недоставленных событий в файл на жестком диске с последующей возможностью импорта этих записей в БД Сервиса Аудита.

Настройка экспорта недоставленных сообщений аудита

Активация резервного канала записи утерянных сообщений аудита на жесткий диск осуществляется путем задания параметра -FolderName модуля оповещения типа «Аудит». Данный параметр можно задать в командлете New-DssXXXAudit (XXX = SignServer, STS или DocumentStore) среди параметров модуля оповещения или же добавить параметр к уже существующему модулю путем вызова командлета Set-DssXXXAudit (XXX = SignServer, STS или DocumentStore). Данный параметр задает путь к папке, в которой будет создан файл с недоставленными записями аудита. Формат имени файла имеет следующий вид:

{product}_{instanceName}_Messages(0).cdm

, где

  • product — это тип экземпляра компонента КриптоПро DSS (SignServer, STS или DocumentStore);
  • instanceName — имя экземпляра компонента КриптоПро DSS, с которого записываются сообщения аудита.

Пример добавления параметра:

# Получение ID модуля оповещения при помощи командлета Get-DssSignServerNotifier

Get-DssSignServerNotifier

ID              : 5
Type            : Audit
Settings        : {[Enabled, True], [FolderName, C:\tmp], [ThreadCount, 1]}
IsEnabled       : True
TransportPlugin : CryptoPro.DSS.PowerShell.Common.Objects.Plugin
MessagePlugin   : CryptoPro.DSS.PowerShell.Common.Objects.Plugin

# Назначение параметра -FolderPath 

Set-DssSignServerNotifier -NotifierID 5 -Settings @{"FolderPath"="C:\tmp\"}
Примечание

Аналогичным образом резервирование может быть включено для модуля оповещения при его создании:

New-DssSignServerAudit -AuditServiceAddress http://host.name/Analytics/AuditWriter.svc -Settings @{"FolderPath"="C:\tmp\"}

Настройка импорта недоставленных сообщений аудита

По восстановлении связи с компонентом Сервис Аудита и/или его БД. Утерянные и недоставленные сообщения могут быть импортированы в БД из файла, куда велось резервирование, при помощи следующей команды:

Import-SignServerAuditRecords -FilePath <путь>

При этом производится проверка каждого события на возможные дубликаты. Таким образом попадание одного и того же события в БД дважды исключено.