В этом разделе

rb_security

rb_security — утилита для работы с журналом событий информационной безопасности.

Возможности:

включение или выключение режима сбора данных (аудита). По умолчанию осуществляется включение журналирования всех значимых таблиц (кроме очередей задач, временных таблиц и таблиц с хешами);
журналирование очередей задач (--enable-for-tasks);
отображение событий;
получение информации о состоянии (вкл./выкл.);
экспорт событий в простой текст, JSON, CEF;
очистку журнала.
-h

Справочное сообщение

-s [--connection-string]

Использует строку подключения без пароля для работы с базой данных вместо информации о конфигурационном файле (см. https://www.postgresql.org/docs/current/libpq-connect.html#LIBPQ-CONNSTRING)

-s

Служебный, необходим для внутренней работы сервера RuBackup. Пользователям не рекомендуется использовать данный параметр

--check-enabled

Возвращает строку true, если аудит был включен, в противном случае false

--check-tasks-enabled

Возвращает строку true, если аудит для задач был включен, в противном случае строку false

-e [--enable]

Включение режима сбора данных (аудита) в журнал событий ИБ. По умолчанию осуществляется включение журналирования всех значимых таблиц, кроме очередей задач и временных таблиц. При необходимости можно включить журналирование очередей задач (см. -E [--enable-for-tasks])

-E [--enable-for-tasks]

Дополнительно включить аудит безопасности для всех задач в очередях (используется совместно с опцией -e [--enable])

-d [--disable]

Отключить аудит безопасности

-x [--export] arg
Экспорт журнала событий ИБ в файл требуемого формата. Возможные значения: txt, json, cef
Пример экспорта журнала событий ИБ:

+ rb_security --export cef --export-filename /opt/rubackup/log/security_log/info_sec_log.cef

+ Журнал событий ИБ будет экспортирован в файл формата .cef в указанный каталог и будет содержать все события информационной безопасности, начиная с момента создания БД (или её последней очистки) и до момента отключения от неё.

Формат записи в журнале событий ИБ в экспортируемом файле .cef:

версия CEF;

наименование поставщика продукта;

наименование продукта;

версия продукта;

тип события;

user — имя пользователя, совершившего действие;

made a change — тип запроса к базе данных;

on schema — используемая схема базы данных;

table — наименование таблицы, в которой произошли изменения;

дата и время совершения события;

степень важности события;

inet_server_addr — IP-адрес сервера RuBackup;

inet_client_addr — IP-адрес узла, с которого было инициировано событие;

original_data — данные до изменения;

new_data — данные после изменения;

query — описание события.

Некоторые атрибуты в последнем столбце могут отсутствовать в зависимости от сценария изменений.
-f [--export-filename]

если параметр не задан, то экспорт выполняется в каталог по умолчанию /opt/rubackup/log/security_log/ с форматом имени файла вида rubackup_audit.export.cef.<ts>, где <ts> — локальное время системы в формате %Y-%m-%d_%H-%M-%S.
-f [--export-filename] arg

Определение полного пути экспортируемого файла

-c [--clean]
Очистить записи таблицы базы данных (предварительно экспортировав ее в .txt)
В результате очистки журнала событий ИБ:

произведен экспорт всех записей о событиях информационной безопасности в файл формата .txt по указанному пути;

удалены все записи о событиях в журнале событий ИБ;

в очищенный журнал событий ИБ добавлена запись об очистке журнала ИБ.
-l [--list]
Вывод в консоль всех записей журнала событий ИБ с момента создания БД или с момента последней очистки журнала в формате:
ID — номер события в журнале

User name — имя пользователя, инициировавшего событие

Action name — тип события

Timestamp — дата и время по UTC произошедшего события

Query — описание события

Original data (при указании опции -v [--verbose]) — данные до изменений, если таковые имеются, например, при запросе обновления данных (UPDATE).
-v [--verbose]

Расширенный режим вывода