Блокирующий аудит
Сервис Аудита КриптоПро DSS обладает возможностью записи сообщений в режиме блокирующего аудита. Под термином «блокирующий аудит» понимается режим работы КриптоПро DSS, при котором невозможность з аписи сообщения аудита в БД по тем или иным причинам приводит к завершению выполняемой операции с ошибкой. Данный режим полезен для тех сценариев, в которых журналирование операций является критичным при их выполнении. Данный режим подразумевает, что в случае штатной работы всех компонентов информация о любой завершившейся успехом операции может быть найдена в БД Сервиса Аудита.
Режим блокирующего аудита может быть включен как при первоначальной конфигурации аудита на
компоненте, так и при конфигурации уже существующих экземпляров. Для активации блокирующего аудита
при первоначальной конфигурации необходимо выставить параметр -UseBlockingAudit
командлета
New-DssXXXAudit
(XXX = SignServer
, STS
или DocumentStore
) в значение 1
. Для модификации
режима уже существующей конфигурации аудита необходимо использовать командлет
Set-DssXXXAudit
(XXX = SignServer
, STS
или DocumentStore
) c параметром –UseBlockingAudit
,
выставленным в значение 1
. При передаче данного параметра Powershell считывает текущую конфигурацию
аудита, осуществляет перерегистрацию типа модуля оповещения на запрошенную и задает ему параметры,
полученные из зачитанной конфигурации.
Пример настройки блокирующего аудита:
New-DssSignServerAudit -AuditServiceAddress http://hostname/Analytics/AuditWriter.svc -Settings @{"FolderName"="C:\tmp"} -UseBlockingAudit 1
Примечание
Включение блокирующего аудита создает новый словарь настроек модуля оповещения.
После переключения службы в режим блокирующего аудита необходимо убедиться, что настройки были
перенесены. Для вывода всех настроек, записанных в -Settings
можно выполнить следующую команду:
(Get-Dss**Audit -DisplayName <name>).Settings | fl
Внимание!
Настройка FolderPath
(т.е. резервирование записей аудита) при включенном
блокирующем аудите игнорируется. Резервирование не будет производиться.