Просмотр журнала логирования Kaspersky MLAD
В Kaspersky MLAD используется система логирования Grafana для отслеживания состояния служб программы, а также для отслеживания событий информационной безопасности.
Отслеживание событий информационной безопасности Kaspersky MLAD в подсистеме логирования
В таблице ниже приведены типы событий ИБ, которые отслеживаются в Kaspersky MLAD.
Типы событий информационной безопасности
Идентификатор события информационной безопасности в системе логирования |
Тип события информационной безопасности |
|---|---|
|
Подключение и попытки подключения пользователей к Kaspersky MLAD |
|
Проверка прав пользователей при выполнении действий в веб-интерфейсе Kaspersky MLAD |
|
Завершение подключения пользователей к Kaspersky MLAD |
|
Запуск, остановка и перезапуск служб Kaspersky MLAD |
|
Изменение учетных записей пользователей |
|
Изменение параметров Kaspersky MLAD |
|
Создание, изменение и удаление моделей |
|
Импорт, создание, изменение и удаление тегов |
|
Удаление логов событий ИБ из базы данных Kaspersky MLAD при превышении объема хранения логов или при истечении срока их хранения |
Каждая запись о событии ИБ содержит следующие параметры:
- event_id – идентификатор события ИБ.
- timestamp – дата и время события ИБ.
- event_type – идентификатор типа события ИБ.
- sub_type – уточнение типа события ИБ.
- severity – важность события ИБ. В Kaspersky MLAD предусмотрены следующие уровни важности событий ИБ:
- 1 – низкий.
К этим событиям ИБ относятся записи о предоставлении доступа пользователям на выполнение какого-либо действия в веб-интерфейсе и об успешном выполнении каких-либо действий пользователей.
- 5 – средний.
К этим событиям ИБ относятся записи о действиях пользователей в веб-интерфейсе по управлению ML-моделями, тегами, учетными записями и паролями, а также записи о достижении заданных порогов по времени и объему хранения логов событий ИБ.
- 8 – высокий.
К этим событиям ИБ относятся записи об указании пользователями неправильных логина и/или пароля при подключении к веб-интерфейсу программы, а также записи о неуспешных попытках смены пароля.
- 10 – высший.
К этим событиям ИБ относятся записи о попытках подключения к веб-интерфейсу программы с помощью системной или заблокированной учетной записи, а также записи о попытках выполнения каких-либо действий в программе при отсутствии соответствующих прав доступа.
- 1 – низкий.
- username – имя пользователя, действия которого привели к записи события ИБ.
- ip_address – IP-адрес компьютера, с которого пользователем было произведено действие, записанное в логи событий ИБ.
- outcome – результат события ИБ. Результат OK соответствует успешному выполнению операции пользователем. Результат FAIL соответствует отказу в выполнении операции пользователем.
- msg – краткое содержание события ИБ.
- info – подробное описание события ИБ.
Отслеживание состояния служб Kaspersky MLAD в подсистеме логирования
Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:
<директория программы>-<название образа>-#,
где: # – номер контейнера Docker.
По умолчанию Kaspersky MLAD использует директорию mlad-release-4.0.2-<номер установочной сборки>.
В журнале логирования Kaspersky MLAD записи о состоянии служб программы хранятся только за последние 48 часов.
Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.
Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker
Служба Kaspersky MLAD |
Имя образа |
Имя контейнера |
|---|---|---|
Anomaly Detector |
anomaly_detector |
mlad-release-4.0.2-<номер установочной сборки>-anomaly_detector-1 |
Time Series Database |
influxdb |
mlad-release-4.0.2-<номер установочной сборки>-influxdb-1 |
Message Broker |
kafka |
mlad-release-4.0.2-<номер установочной сборки>-kafka-1 |
Keeper |
keeper |
mlad-release-4.0.2-<номер установочной сборки>-keeper-1 |
Logger |
logger |
mlad-release-4.0.2-<номер установочной сборки>-logger-1 |
Database |
postgres |
mlad-release-4.0.2-<номер установочной сборки>-postgres-1 |
Similar Anomaly |
similar_anomaly |
mlad-release-4.0.2-<номер установочной сборки>-similar_anomaly-1 |
Event Processor |
event-processor |
mlad-release-4.0.2-<номер установочной сборки>-event-processor-1 |
Stream Processor |
stream-processor |
mlad-release-4.0.2-<номер установочной сборки>-stream-processor-1 |
Trainer |
trainer |
mlad-release-4.0.2-<номер установочной сборки>-trainer-1 |
Web Server |
nginx-ui |
mlad-release-4.0.2-<номер установочной сборки>-nginx-ui-1 |
API Server |
web-server |
mlad-release-4.0.2-<номер установочной сборки>-web-server-1 |
Mail Notifier |
postman |
mlad-release-4.0.2-<номер установочной сборки>-postman-1 |
OPC UA Connector |
opcua-connector |
mlad-release-4.0.2-<номер установочной сборки>-opcua-connector-1 |
MQTT Connector |
mqtt-connector |
mlad-release-4.0.2-<номер установочной сборки>-mqtt-connector-1 |
AMQP Connector |
amqp-connector |
mlad-release-4.0.2-<номер установочной сборки>-amqp-connector-1 |
HTTP Connector |
gate |
mlad-release-4.0.2-<номер установочной сборки>-gate-1 |
KICS Connector |
kics3-connector |
mlad-release-4.0.2-<номер установочной сборки>-kics3-connector-1 |
CEF Connector |
cef-connector |
mlad-release-4.0.2-<номер установочной сборки>-cef-connector-1 |
WebSocket Connector |
ws-connector |
mlad-release-4.0.2-<номер установочной сборки>-ws-connector-1 |
|
webstatic |
mlad-release-4.0.2-<номер установочной сборки>-webstatic-1 |
|
migrations |
mlad-release-4.0.2-<номер установочной сборки>-migrations-1 |
Для служб Time Series Database, Message Broker, Logger, Database, Web Server, а также образов webstatic и migrations используется уровень логирования Инфо. Уровни логирования для остальных служб Kaspersky MLAD задаются системным администратором при настройке параметров программы.