Audit log — tizimdagi xavfsizlik va boshqaruv nuqtayi nazaridan muhim amallarni kim, qachon, qayerdan va qanday natija bilan bajarganini qayd etuvchi jurnal. U oddiy application debug logidan farqli ravishda accountability, compliance, incident investigation va o‘zgarish tarixiga xizmat qiladi.
Audit hodisasi
Yozuvda vaqt, actor identity, action, target resource, request ID, source, decision va natija bo‘lishi mumkin. Authentication, permission o‘zgarishi, secret o‘qish, administrator amali, policy update va data export odatda audit qilinadi. Har oddiy readni yozish hajm va maxfiylikka ta’sir qilishi sabab risk asosida tanlanadi.
Actor faqat username emas. Service account, workload identity, impersonated user va asl delegator alohida maydonlarda saqlanadi. Shared admin account accountabilityni yo‘qotadi.
Mazmunni minimallashtirish
Audit log secret qiymati, parol, token, private key yoki to‘liq sensitive payloadni saqlamasligi kerak. “Qaysi secret path o‘qildi” yoziladi, “secret nima edi” emas. Shaxsiy ma’lumot faqat zarur miqdorda va retention asosida qayd etiladi.
Request bodyni avtomatik to‘liq loglash access tarixini data breachga aylantirishi mumkin. Field allowlist va redaction schema bilan boshqariladi. Hash ayrim identifikatorni korrelyatsiya qilishga yordam beradi, lekin kichik qiymat fazosida qayta topilishi mumkin.
Yaxlitlik
Administrator o‘z zararli amalidan keyin logni o‘chira olsa audit ishonchsiz. Yozuvlar append-only tashqi tizimga yuboriladi, access ajratiladi va retention lock ishlatilishi mumkin. Hash chain yoki digital signature keyingi tahrirni aniqlashga yordam beradi.
Tamper-evident log o‘zgarishni ko‘rsatadi, lekin yozuv boshidan noto‘g‘ri yaratilganini isbotlamaydi. Ishonchli vaqt, identity va collector pipeline ham himoyalanadi. Soat sinxronizatsiyasi distributed event timeline uchun muhim.
Markazlashtirish
Node lokal diski yo‘qolishi yoki hujumchi tomonidan o‘chirilishi mumkin. Agent audit oqimini markaziy SIEM yoki himoyalangan storagega jo‘natadi. Buffer tarmoq uzilishida yozuvni vaqtincha saqlaydi, ammo disk to‘lsa fail-open yoki fail-closed siyosati oldindan belgilanadi.
Event schema bir xil bo‘lsa turli servislar bo‘ylab correlation ID va identity bilan zanjir tuziladi. Duplicate delivery idempotent ingestion bilan boshqariladi. Parser xatosi audit yozuvini jim tashlab yubormasligi kerak.
Tahlil va alert
Ko‘p muvaffaqiyatsiz login, odatiy bo‘lmagan region, katta data export yoki policy bypass alert berishi mumkin. Baseline va context false positive ni kamaytiradi. Audit log real-time detection bilan birga keyingi forensic query uchun ham saqlanadi.
Retention huquqiy talab, tekshiruv oynasi, hajm va maxfiylikni muvozanatlashtiradi. Muddat tugagach nazoratli o‘chirish bajariladi. Audit log backupi ham encryption va access controlga ega.
Vaqt va yaxlitlik
Taqsimlangan tizimda event tartibini faqat mahalliy timestamp bilan aniqlash ishonchsiz: soatlar siljishi va queue kechikishi mumkin. Har yozuv event va ingestion vaqtini, source identifikatori hamda correlation IDni saqlaydi. Hash chain, digital signature yoki write-once storage keyingi o‘zgartirishni aniqlashga yordam beradi. Bu mexanizm noto‘g‘ri hodisa yozilishining oldini olmaydi, shuning uchun collector identitysi va schema ham tekshiriladi. Retention davri huquqiy talab, tekshiruv ehtiyoji va maxfiylik riskiga mos belgilanadi.
Qidiruv indeksi asl arxivning o‘rnini bosmaydi. Indeks qayta qurilsa ham original yozuvning identifikatori va digesti o‘zgarmaydi. Auditga kirishning o‘zi ham alohida audit hodisasi sifatida yoziladi.
Bog‘liq tushunchalar
Logging, SIEM, Tamper evidence, Compliance, Access control, Correlation ID, Forensics