System Logów Audytu
System Logów Audytu to kluczowy element struktury bezpieczeństwa, który odpowiada za rejestrowanie, archiwizowanie i organizowanie wszystkich zdarzeń systemowych. Architektura ta gwarantuje porządek i łatwe skalowanie danych poprzez ich kategoryzację na rodzaje zdarzeń (np. autoryzacja, aplikacja) oraz przynależność do konkretnych jednostek (np. spółek).
Struktura Organizacyjna Danych
Dane są segregowane w logiczny sposób, co pozwala na szybkie odnalezienie potrzebnych informacji.
| Poziom Struktury | Przeznaczenie | Zawartość |
| Repozytorium Główne | Centralne miejsce przechowywania wszystkich logów. | Wszystkie kategorie logów i szablony. |
| Logi Zbiorcze | Rejestr wszystkich zdarzeń (zarówno dostępowych, jak i systemowych). | Dane dla użytkowników anonimowych oraz konkretnych spółek. |
| Logi Aplikacyjne | Rejestr działań wewnątrz aplikacji. | Akcje użytkowników w ramach danej organizacji. |
| Logi Autoryzacji | Rejestr procesów logowania i weryfikacji. | Próby dostępu, zmiany uprawnień. |
| Szablony | Magazyn wzorców struktury logów. | Gotowe schematy raportowania zdarzeń. |
Zarządzanie i Archiwizacja
System pozwala na elastyczne definiowanie sposobu przechowywania danych, dostosowane do potrzeb organizacji.
Zasady Archiwizacji:
Podział na Spółki: Wszystkie zdarzenia danej jednostki trafiają do dedykowanego zbioru danych.
Archiwizacja Czasowa (Roczna/Miesięczna): Automatyczne tworzenie nowych zbiorów danych wraz z upływem czasu (np. nowy zbiór co miesiąc lub co rok).
Archiwizacja Progowa: System zamyka bieżący zbiór i otwiera nowy po przekroczeniu określonej liczby zarejestrowanych zdarzeń.
Komponenty Systemowe i ich Role
Zamiast bezpośredniego kodu, system opiera się na modułach o konkretnych zadaniach:
Moduł Rejestrujący (Logger):
Odpowiada za bezpośrednią komunikację ze zbiorami danych.
Formatuje wpisy zgodnie z międzynarodowym standardem zdarzeń (CEF).
Model Danych Logu:
Służy jako ustandaryzowany kontener na informacje o pojedynczym zdarzeniu.
Słownik Typów Zdarzeń:
Przechowuje definicje wszystkich możliwych akcji: ich unikalne identyfikatory, czytelne nazwy oraz priorytet (istotność).
Przykładowa Definicja Zdarzenia
W systemie każde zdarzenie jest opisane w sposób zrozumiały dla administratora, bez konieczności zaglądania w kod:
ID Zdarzenia: AUTH_LOGIN_SUCCESS_001
Nazwa Zdarzenia: User login successful
Istotność (Severity): 2
