Блокирующий аудит

Сервис Аудита КриптоПро DSS обладает возможностью записи сообщений в режиме блокирующего аудита. Под термином «блокирующий аудит» понимается режим работы КриптоПро DSS, при котором невозможность з аписи сообщения аудита в БД по тем или иным причинам приводит к завершению выполняемой операции с ошибкой. Данный режим полезен для тех сценариев, в которых журналирование операций является критичным при их выполнении. Данный режим подразумевает, что в случае штатной работы всех компонентов информация о любой завершившейся успехом операции может быть найдена в БД Сервиса Аудита.

Режим блокирующего аудита может быть включен как при первоначальной конфигурации аудита на компоненте, так и при конфигурации уже существующих экземпляров. Для активации блокирующего аудита при первоначальной конфигурации необходимо выставить параметр -UseBlockingAudit командлета New-DssXXXAudit (XXX = SignServer, STS или DocumentStore) в значение 1. Для модификации режима уже существующей конфигурации аудита необходимо использовать командлет Set-DssXXXAudit (XXX = SignServer, STS или DocumentStore) c параметром –UseBlockingAudit, выставленным в значение 1. При передаче данного параметра Powershell считывает текущую конфигурацию аудита, осуществляет перерегистрацию типа модуля оповещения на запрошенную и задает ему параметры, полученные из зачитанной конфигурации.

Пример настройки блокирующего аудита:

New-DssSignServerAudit -AuditServiceAddress http://hostname/Analytics/AuditWriter.svc -Settings @{"FolderName"="C:\tmp"} -UseBlockingAudit 1

Примечание

Включение блокирующего аудита создает новый словарь настроек модуля оповещения. После переключения службы в режим блокирующего аудита необходимо убедиться, что настройки были перенесены. Для вывода всех настроек, записанных в -Settings можно выполнить следующую команду:

(Get-Dss**Audit -DisplayName <name>).Settings | fl

Внимание!

Настройка FolderPath (т.е. резервирование записей аудита) при включенном блокирующем аудите игнорируется. Резервирование не будет производиться.