Каналы логирования
Логирование в Центральном пульте разделяет все логи на каналы. Каждый канал представляет собой определённый способ обработки логов.
Сообщения системы безопасности можно отправлять в разные каналы. Каждый канал может содержать несколько транспортных модулей (механизмов доставки в соответствующую систему обработки, например udp
или kafka
) для доставки сообщения одновременно в несколько систем.
Например, сообщения об ошибках можно отправлять в канал "faults", который будет их перенаправлять одновременно в консоль и во внешнюю систему (например в syslog сервер).
{
"channels": {
"faults": [
{
"type": "console",
"options": {
"level": "debug"
}
},
{
"type": "udp",
"options": {
"server": "localhost:514"
}
}
]
}
}
В системе определены 4 тематических канала:
-
session
- информация об открытии/закрытии пользовательской сессии, -
audit
- информация об изменениях в системе, -
faults
- информация об ошибках при доступе к системе. -
default
– канал для сообщений, которые не подходят в другие каналы,
По умолчанию, в системе определён только канал default
. Этот канал отправляет сообщения в консоль на сервере.
Все сообщения, отправленные в канал, который не был определён, игнорируются.