Настройка аудита компонентов DSS
Аудит компонентов КриптоПро DSS производится при помощи службы AuditWriter
, которая автоматически
создается при разворачивании экземпляра Сервиса Аудита. Настройка данной
службы доступна для следующих компонентов КриптоПро DSS:
- Центр Идентификации;
- Сервис Подписи;
- Сервис Обработки Документов.
Для того, чтобы начать записывать в БД Сервиса Аудита события аудита выбранного компонента, необходимо включить для него аудит и зарегистрировать соответствующие плагины конвертации событий аудита и модули оповещения (доставки) этих событий в БД Сервиса Аудита. Данные действия выполняются при помощи следующих командлетов:
- New-DssStsAudit - для Центра Идентификации;
- New-DssSignServerAudit - для Сервиса Подписи;
- New-DssDocumentStoreAudit - для Сервиса Обработки Документов.
Примечание
Все параметры описываемых в данном разделе командлетов New-Dss...Audit
одинаковы для каждого
из компонентов. Поэтому пример разворачивания приводится для одного из них.
Предварительные условия:
- Установленные и настроенные компоненты КриптоПро DSS, для которых требуется выполнять аудит (список доступных к аудиту компонентов см. выше).
- Установленный и настроенный в соответствии со сценарием настройки экземпляр Сервиса Аудита.
Базовая последовательность шагов по настройке (обязательные)
1. Включение аудита для экземпляра компонента КриптоПро DSS, регистрация необходимых плагинов и модулей оповещения (выполняется в одно действие).
Данный шаг производится для каждого из компонентов, которым требуется аудит, при помощи командлета (например) New-DssStsAudit. При этом необходимо указать следующие параметры:
-DisplayName
- имя экземпляра компонента, для которого настраивается аудит.-AuditServiceAddress
- URL-адрес службыAuditWriter
Сервиса Аудита. Формат адреса:http://<hostname>/<analyticsAppName>/AuditWriter.svc)
.-Settings
- параметры регистрируемого модуля оповещения. Формат словаря:@{"<Имя параметра 1>"="<Значение параметра 1>"; "<Имя параметра 2>"="<Значение параметра 2>"; ...; "<Имя параметра N>"="<Значение параметра N>"}
.
Параметр -Settings
является опциональным. Однако рекомендуется настроить путь для резервирования
канала записи сообщений аудита при помощи настройки FolderPath
:
-Settings @{"FolderPath"="<Путь к файлу>\"}
Данная настройка позволяет сохранить недоставленные события аудита в файл, откуда их потом можно импортировать в БД Сервиса Аудита.
Пример настройки аудита
Данный сценарий включает аудит Сервиса Подписи КриптоПро DSS с настроенным резервированием канала записи сообщения аудита.
New-DssSignServerAudit -AuditServiceAddress http://hostname/Analytics/AuditWriter.svc -Settings @{"FolderPath"="C:\tmp\"}
Дополнительные действия по настройке (опциональные)
1. Включение/отключение блокирующего аудита.
Данная настройка выполняется при при помощи параметра -UseBlockingAudit <1/0>
командлета (например)
New-DssStsAudit или командлета (например) Set-DssStsAudit.
Примечание
Включение блокирующего аудита создает новый словарь настроек модуля оповещения (см. п. 2). После
переключения службы в режим блокирующего аудита необходимо убедиться, что настройки были перенесены.
Для вывода всех настроек, записанных в -Settings
можно выполнить следующую команду:
(Get-Dss**Audit -DisplayName <name>).Settings | fl
Внимание!
Настройка FolderPath
(т.е. резервирование записей аудита) при включенном блокирующем аудите
игнорируется. Резервирование не будет производиться.
2. Изменение параметров модуля оповещения службы аудита компонента.
Параметры модуля оповещения службы аудита компонента можно изменить при помощи словаря
-Settings
командлета (например) Set-DssStsAudit. Полный список доступных
настроек:
MinQueueSize
– приемлемый размер очереди сообщений. При превышении заданного значения обработчики будут забирать сообщения из очереди без паузы до момента уменьшения размера очереди ниже данного значения. По умолчанию параметр равен100
.MaxQueueSize
– максимальный размер очереди. При достижении максимального размера очереди отправка новых сообщений блокируется, до момента снижения размера очереди ниже данного значения. По умолчанию параметр равен10000
.TimerInterval
– интервал времени опроса очереди сообщений в мс. По умолчанию параметр равен500
.TTL
– количество повторных попыток отправки сообщения, при возникновении ошибок. По умолчанию параметр равен3
.MessageWindow
– количество сообщений, забираемых из очереди для отправки за один раз. По умолчанию параметр равен1
.ThreadCount
– количество обработчиков очереди сообщений. По умолчанию равен1
.Enabled
– состояние компонента для рассылки сообщений: включен/отключен. По умолчанию включен.FolderPath
– путь к папке, в которой будет создан файл с недоставленными записями аудита.
3. Использование REST API для записи событий аудита.
Данную настройку можно выполнить ТОЛЬКО при создании нового аудита компонента (командлет
New-DssStsAudit). В этом случае параметр -AuditServiceAddress
должен быть следующим:
-AuditServiceAddress https://host/appname/api/writer
Если для какого-либо компонента DSS уже существует настроенный аудит, необходимо удалить его при помощи командлета Remove-DssStsAudit и зарегистрировать заново с данной настройкой.