Формат журналов аутентификации

Описание информации, содержащейся в журналах аутентификации

Регистрация событий при аутентификации пользователей (клиентов) на порталах выполняется в журналах аудита подсистемы аутентификации, расположенных в директории: /var/log/ngate/ng-authd/ng-directory-service.log.

Общий вид строки описания действия в журнале аутентификации при взаимодействии пользователя со шлюзом:

DATE TIME DOMAINNAME COMPONENT: LOGLEVEL : LOGLEVEL_NUM - LOGIN – IP_INET IP_VPN MESSAGE – ADDITIONAL_INFO –
Где:
  • DATE ‒ дата события;
  • TIME ‒ время события (с привязкой выбранного ранее часового пояса);
  • DOMAINNAME ‒ доменное имя машины;
  • COMPONENT ‒ компонент ПО (для аутентификации, это ng-directory-service);
  • LOGLEVEL ‒ значение уровня журналирования. Устанавливается в меню настройки конфигурации.
    • CRITICAL‒ отображает ошибки, влияющие на работоспособность системы, когда нет возможности даже запустить процесс аутентификации. Например, показаны незапущенные службы, незавершённые корректно процессы и так далее;
    • ERROR‒ сообщение об ошибке аутентификации пользователя, когда аутентификация не была выполнена;
    • WARNING ‒ сопутствующая информация об ошибке уровня ERROR;
    • INFO‒ информация, относящаяся к ходу процесса аутентификации пользователя;
    • DEBUG ‒ сопутствующая информация на всех уровнях журналирования. Например, отладочная информация, промежуточные результаты аутентификации и так далее.
  • LOGIN ‒ логин клиента (при наличии);
  • IP_INET ‒ IP-адрес клиента (0.0.0.0 ‒ если неизвестен);
  • IP_VPN ‒ IP-адрес, присвоенный клиенту шлюзом (0.0.0.0 ‒ если неизвестен);
  • MESSAGE ‒ описание совершаемого действия и/или его результата;
  • ADDITIONAL_INFO ‒ результат действия (может быть пустым) и/или код ошибки.
  • Прим.: Уровни записи настраиваются при создании конфигурации, параметр Backend log maximum level.
    Прим.: В примерах журналов ID сессии приводятся в урезанном виде для удобства чтения.

ПРИМЕРЫ ЗАПИСЕЙ:

Доступ к веб-ресурсу при аутентификации по логину и паролю пользователя из LDAP

Записи в журнале аутентификации при инициализация подключения к веб-ресурсу. При начале сессии в журнале появляется запись /ng_create_session и Creating session, также сопровождаемая логином клиента (в этом примере: jas-totp) и IP-адресом клиента – 192.168.85.1137:

2022-12-13T17:55:34.593582+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 -  - 192.168.85.137 0.0.0.0 - Creating session - Host: ng-otp-r2.cp.ru:9443, ClientAlgo: GOST, User: jas-totp, User-Agent: NGateClient/1.0.0-598-lin-64bit (linux x86_64; Ubuntu 22.04.1 LTS) - 
2022-12-13T17:55:34.699645+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas-totp - 192.168.85.137 172.22.0.12 - Create session - Success - NfIUD+UVyBs7fdJN5dv95wtjdbPZyshazDtmmjnDSzQ=
2022-12-13T17:55:34.700940+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas-totp - 192.168.85.137 172.22.0.12 - List tunnel external - Success - NfIUD+UVyBs7fdJN5dv95wtjdbPZyshazDtmmjnDSzQ=
2022-12-13T17:55:34.725556+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas-totp - 192.168.85.137 172.22.0.12 - List tunnel internal - Success - NfIUD+UVyBs7fdJN5dv95wtjdbPZyshazDtmmjnDSzQ=

При завершении сессии в журнале появляется запись /ng_park_session, также сопровождаемая логином клиента (в этом примере: jas-totp) и IP-адресом клиента – 192.168.85.1137:

2022-12-13T17:57:28.307641+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas-totp - 192.168.85.137 172.22.0.12 - Park session - Success - NfIUD+UVyBs7fdJN5dv95wtjdbPZyshazDtmmjnDSzQ=
2022-12-13T17:57:28.475537+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas-totp - 192.168.85.137 172.22.0.12 - Abort session - Success - NfIUD+UVyBs7fdJN5dv95wtjdbPZyshazDtmmjnDSzQ=

Ошибка при доступе (неправильный пароль), ключевое сообщение: Access denied - Incorrect password:

2022-11-10T20:11:02.409667+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info : 3 - - 192.168.85.137 0.0.0.0 - Creating ldap session - Host: ng-otp-r2.cp.ru:9443, ClientAlgo: GOST, User: jas-totp, User-Agent:
lua-resty-http/0.16.1 (Lua) ngx_lua/10020 -
2022-11-10T20:11:02.441405+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: warning: 2 - jas-totp - 192.168.85.137 0.0.0.0 - LDAP check user credentials - Invalid credentials -
2022-11-10T20:11:02.441568+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info : 3 - jas-totp - 192.168.85.137 0.0.0.0 - Access denied - Incorrect password (Username or password is incorrect) -

Доступ к веб-ресурсу при аутентификации по полям сертификата клиента

Ниже видны сообщения /ng_create_cert_session и Creating cert session. Сессия создаётся для клиента с IP-адресом 192.168.85.137, не имеющего внутреннего IP-адреса. Вся дополнительная информация при аутентификации по сертификату содержится в чести строки ADDITIONAL_INFO:
2022-12-13T17:53:54.866678+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 -  - 192.168.85.137 0.0.0.0 - Creating cert session - Host: ng-otp-r2.cp.ru:6443, ClientAlgo: GOST, User: usr/0x7C00078968EF0708C16F7A031C000100078968/test/test, User-Agent: NGateClient/1.0.0-598-lin-64bit (linux x86_64; Ubuntu 22.04.1 LTS) - 
2022-12-13T17:53:54.889502+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - usr/0x7C00078968EF0708C16F7A031C000100078968/test/test - 192.168.85.137 172.16.0.4 - Create session - Success - gbLsxVcSrWzi/cANSEiDlFBb0ciU4tBnI3oK7DQj4P0=
2022-12-13T17:53:54.890706+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - usr/0x7C00078968EF0708C16F7A031C000100078968/test/test - 192.168.85.137 172.16.0.4 - List tunnel external - Success - gbLsxVcSrWzi/cANSEiDlFBb0ciU4tBnI3oK7DQj4P0=
2022-12-13T17:53:54.928298+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - usr/0x7C00078968EF0708C16F7A031C000100078968/test/test - 192.168.85.137 172.16.0.4 - List tunnel internal - Success - gbLsxVcSrWzi/cANSEiDlFBb0ciU4tBnI3oK7DQj4P0=
При завершении сессии в журнале появляется запись с сообщением /ng_park_session:
2022-12-13T17:53:58.648871+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - usr/0x7C00078968EF0708C16F7A031C000100078968/test/test - 192.168.85.137 172.16.0.4 - Park session - Success - gbLsxVcSrWzi/cANSEiDlFBb0ciU4tBnI3oK7DQj4P0=
2022-12-13T17:53:58.797542+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - usr/0x7C00078968EF0708C16F7A031C000100078968/test/test - 192.168.85.137 172.16.0.4 - Abort session - Success - gbLsxVcSrWzi/cANSEiDlFBb0ciU4tBnI3oK7DQj4P0=

Доступ к веб-ресурсу при аутентификации по логину пользователя из LDAP c последующим вводом OTP

Ниже видны сообщения /ng_create_session и затем сообщения об получении OTP: Ldap search - LDAP set opt ref (поля MESSAGE и ADDITIONAL_INFO): 
2022-12-13T18:06:40.688626+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 -  - 192.168.85.137 0.0.0.0 - Creating ldap session - Host: ng-otp-r2.cp.ru, ClientAlgo: GOST, User: client, User-Agent: NGateClient/1.0.0-598-lin-64bit (linux x86_64; Ubuntu 22.04.1 LTS) - 
2022-12-13T18:06:40.820726+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - client - 192.168.85.137 172.18.0.6 - Create session - Success - 1DoaRqom3K4dY+RKdYmgcS+/WvKJHVhoYyE6RVf6QGA=
2022-12-13T18:06:40.831445+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - client - 192.168.85.137 172.18.0.6 - List tunnel external - Success - 1DoaRqom3K4dY+RKdYmgcS+/WvKJHVhoYyE6RVf6QGA=
2022-12-13T18:06:40.840850+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - client - 192.168.85.137 172.18.0.6 - List tunnel internal - Success - 1DoaRqom3K4dY+RKdYmgcS+/WvKJHVhoYyE6RVf6QGA=
При завершении сессии в журнале появляется запись с сообщением /ng_park_session:
2022-12-13T18:07:10.001577+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - client - 192.168.85.137 172.18.0.6 - Park session - Success - 1DoaRqom3K4dY+RKdYmgcS+/WvKJHVhoYyE6RVf6QGA=
2022-12-13T18:07:10.162108+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - client - 192.168.85.137 172.18.0.6 - Abort session - Success - 1DoaRqom3K4dY+RKdYmgcS+/WvKJHVhoYyE6RVf6QGA=

Ошибка при доступе (пустой OTP):

2022-11-10T20:08:39.782542+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info : 3 - - 192.168.85.137 0.0.0.0 - Access denied - No username or password (Username or password are not provided) -

Доступ к веб-ресурсу при аутентификации по сертификату пользователя, паролю пользователя из LDAP с PIN-кодом OTP и OTP паролем

Ниже видны сообщения /ng_create_cert_and_ldap_session и затем сообщения об получении OTP: Ldap search - LDAP set opt ref (поля MESSAGE и ADDITIONAL_INFO):

2022-12-13T18:16:20.137277+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 -  - 192.168.85.137 0.0.0.0 - Creating cert and ldap session - Host: ng-otp-r2.cp.ru:5443, ClientAlgo: GOST, User: jas5, User-Agent: NGateClient/1.0.0-598-lin-64bit (linux x86_64; Ubuntu 22.04.1 LTS) -
2022-12-13T18:16:20.312529+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas5 - 192.168.85.137 172.17.0.3 - Create session - Success - +TzpD9YrNIc54+fT3/d+dkwoMzqSDUBnD2sjBPe5Tg4= 
2022-12-13T18:16:20.313248+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas5 - 192.168.85.137 172.17.0.3 - List tunnel external - Success - +TzpD9YrNIc54+fT3/d+dkwoMzqSDUBnD2sjBPe5Tg4=
2022-12-13T18:16:20.358674+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas5 - 192.168.85.137 172.17.0.3 - List tunnel internal - Success - +TzpD9YrNIc54+fT3/d+dkwoMzqSDUBnD2sjBPe5Tg4=

При завершении сессии в журнале появляется запись с сообщением /ng_park_session:

2022-12-13T18:15:22.844146+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas5 - 192.168.85.137 172.23.0.3 - Park session - Success - +2wyFC1Tx1iNqwp4xLqWhDDReEP8vA2QVzZdCoQjn2M=
2022-12-13T18:15:22.998088+03:00 ng-otp-r2 ng-directory-service--radius-connector[889217]: info   : 3 - jas5 - 192.168.85.137 172.23.0.3 - Abort session - Success - +2wyFC1Tx1iNqwp4xLqWhDDReEP8vA2QVzZdCoQjn2M=

Обновление сессии

При обновлении сессии сначала она приостанавливается (/ng_park_session) затем в журнал аутентификации попадает запись /ng_refresh_tunnel_session:
Feb 28 12:44:24 ngate-a ng-directory-service: info   : 3 - Shredder/CP/NG/0x7C00086370C5A8E96362A62910000100086370 - 192.168.85.175 172.16.0.3 - Refresh tunnel session - Success - wRFz785/9Y+ojJFrgiJ4oh8IaK1Pkil3lBvNbPW0GBs=
Feb 28 12:44:24 ngate-a ng-directory-service: info   : 3 - Shredder/CP/NG/0x7C00086370C5A8E96362A62910000100086370 - 192.168.85.175 172.16.0.3 - List tunnel external - Success - wRFz785/9Y+ojJFrgiJ4oh8IaK1Pkil3lBvNbPW0GBs=
Feb 28 12:44:24 ngate-a ng-directory-service: info   : 3 - Shredder/CP/NG/0x7C00086370C5A8E96362A62910000100086370 - 192.168.85.175 172.16.0.3 - List tunnel internal - Success - wRFz785/9Y+ojJFrgiJ4oh8IaK1Pkil3lBvNbPW0GBs=
Feb 28 12:44:28 ngate-a ng-directory-service: info   : 3 - Shredder/CP/NG/0x7C00086370C5A8E96362A62910000100086370 - 192.168.85.175 172.16.0.3 - Park session - Success - wRFz785/9Y+ojJFrgiJ4oh8IaK1Pkil3lBvNbPW0GBs=
Feb 28 12:44:28 ngate-a ng-directory-service: info   : 3 - Shredder/CP/NG/0x7C00086370C5A8E96362A62910000100086370 - 192.168.85.175 172.16.0.3 - Abort session - Success - wRFz785/9Y+ojJFrgiJ4oh8IaK1Pkil3lBvNbPW0GBs=