В этом разделе

rb_security

rb_security — утилита для работы с журналом событий информационной безопасности.

При необходимости, можно выполнить:

включение/выключение режима сбора данных. По умолчанию осуществляется включение журналирования всех значимых таблиц (кроме очередей задач, временных таблиц и таблиц с хэш)
журналирование очередей задач (опция --enable-for-tasks)
отображение событий
получение информации о состоянии функционала (вкл./выкл.)
экспорт событий в форматы txt, json, cef
очистку журнала

-h

Справочное сообщение

-s [--connection-string]

Использует строку подключения без пароля для работы с базой данных вместо информации о конфигурационном файле* (см. https://www.postgresql.org/docs/current/libpq-connect.html#LIBPQ-CONNSTRING)

-s

является служебным и необходим для внутренней работы сервера RuBackup* Пользователям не рекомендуется использовать данный параметр

--check-enabled

Возвращает строку "true", если аудит был включен, в противном случае "false"

--check-tasks-enabled

Возвращает строку "true", если аудит для задач был включен, в противном случае строку "false"

-e [--enable]

Включение режима сбора данных в журнал событий ИБ* По умолчанию осуществляется включение журналирования всех значимых таблиц, кроме очередей задач и временных таблиц* При необходимости можно включить журналирование очередей задач (см. опцию -E [ --enable-for-tasks ])

-E [--enable-for-tasks]

Дополнительно включить аудит безопасности для всех задач в очередях (используется совместно с опцией -e [ --enable ])

-d [--disable]

Отключить аудит безопасности

-x [--export] arg

Экспорт журнала событий ИБ в файл требуемого формата, возможные значения: txt, json, cef

-f [--export-filename]

если параметр не задан, то экспорт выполняется в каталог по умолчанию /opt/rubackup/log/security_log/ с форматом имени файла вида rubackup_audit.export.cef.<ts>, где <ts> — локальное время системы в формате %Y-%m-%d_%H-%M-%S`.

-f [--export-filename] arg

Определение полного пути экспортируемого файла

Пример экспорта журнала событий ИБ:

sudo rb_security --export cef --export-filename /opt/rubackup/log/security_log/info_sec_log.cef

Журнал событий ИБ будет экспортирован в файл формата .cef в указанный каталог и будет содержать все события информационной безопасности, начиная с момента создания БД (или её последней очистки) и до момента отсоединения от неё.

Формат записи в журнале событий ИБ в экспортируемом файле .CEF:

версия CEF
наименование поставщика продукта
наименование продукта
версия продукта
тип события
user — имя пользователя, совершившего действие
made a change — тип запроса к базе данных
on schema — используемая схема базы данных
table — наименование таблицы, в которой произошли изменения
дата и время совершения события
степень важности события
inet_server_addr — IP-адрес сервера RuBackup
inet_client_addr — IP-адрес узла, с которого было инициировано событие
original_data — данные до изменения
new_data — данные после изменения
query — описание события

некоторые атрибуты в последнем столбце могут отсутствовать в зависимости от сценария изменений

-c [--clean]: Очистить записи таблицы базы данных (предварительно экспортировав ее в формате "txt")*

В результате очистки журнала событий ИБ:

произведен экспорт всех записей о событиях информационной безопасности в файл формата .txt по указанному пути
удалены все записи о событиях в журнале событий ИБ
в очищенный журнал событий ИБ добавлена запись об очистке журнала ИБ

-l [--list]

Вывод в консоль всех записей журнала событий ИБ с момента создания БД или с момента последней очистки журнала в формате:
ID – номер события в журнале
User name – имя пользователя, инициировавшего событие
Action name – тип события
Timestamp – дата и время по UTC произошедшего события
Query – описание события
Original data (при указании опции -v [ --verbose ]) – данные до изменений, если таковые имеются, например, при запросе обновления данных (UPDATE).

-v [--verbose]

Расширенный режим вывода