事件日志

事件日志是团队或企业组织内发生的事件的时间戳记录。要访问事件日志:

1、登录到 Bitwarden 网页 App 然后使用产品切换器打开管理控制台:

产品切换器

2、从导航中选择报告事件日志

事件日志

事件日志可以从 Bitwarden 公共 API/events 端点访问和导出,并无限期保留,但每次只能查看 367 天的数据(由范围选择器决定)。

Bitwarden 客户端和服务器都会捕获事件,其中大多数事件发生在客户端。服务器事件捕获是瞬时的,处理速度也很快,而客户端则每 60 秒向服务器推送一次事件数据,因此您可能会观察到最近事件的报告有轻微延迟。此外,客户端事件数据是通过 API 调用进行通信的,并且会重试,直到成功为止。因此,如果客户端无法与 API 通信,或者被修改为不发送事件,就无法接收并处理这些事件。

检查事件

在网页 App 的事件日志视图中,选择粉红色的资源标识符(例如 1e685004)将做两件事:

  1. 打开一个对话框,其中包含与该资源关联的事件列表。例如,选择一个项目的标识符将打开该项目被编辑、被查看等的时间列表,包括哪个成员执行的每个操作。

  2. 导航到您访问资源的视图。例如,从事件日志中选择成员的标识符将带您进入成员视图并自动将列表筛选为该成员。

事件列表

事件日志记录了超过 60 种不同类型的事件。事件日志界面捕捉事件的时间戳,包括应用程序的类型和 IP (通过悬停在 🌎地球图标上访问)等客户端 App 信息、连接到事件的用户、以及事件的描述。

每一个事件都使用类型代码(10001001 等)关联,以标识事件所捕获的操作。Bitwarden 公共 API 使用类型代码来标识被事件所记录的操作。

下面列出了所有事件类型及其相应的类型代码:

用户事件

  • 登录了。(1000)

  • 修改了账户密码。(1001)

  • 启用/更新了两步登录。(1002)

  • 禁用了两步登录。(1003)

  • 从两步登录中恢复了账户。(1004)

  • 登录尝试因密码错误而失败。(1005)

  • 登录尝试因两步登录错误而失败。(1006)

  • 用户导出了他们个人的密码库项目。(1007)

  • 用户通过账户恢复更新了密码。(1008)

  • 用户使用 Key Connector 迁移了他们的解密密钥。(1009)

  • 用户请求了设备批准 。(1010)

项目事件

  • 创建了项目 item-identifier。(1100)

  • 编辑了项目 item-identifier。(1101)

  • 永久删除了项目 item-identifier。(1102)

  • 为项目 item-identifier 创建了附件。(1103)

  • 为项目 item-identifier 删除了附件。(1104)

  • 将项目 item-identifier 移动至组织。(1105)

  • 编辑了项目 item-identifier 的集合。(1106)

  • 查看了项目 item-identifier。(1107)

  • 查看了项目 item-identifier 的密码。(1108)

  • 查看了项目 item-identifier 的隐藏字段。(1109)

  • 查看了项目 item-identifier 的安全码。(1110)

  • 复制了项目 item-identifier 的密码。(1111)

  • 复制了项目 item-identifier 的隐藏字段。(1112

  • 复制了项目 item-identifier 的安全码。(1113

  • 自动填充了项目 item-identifier。(1114

  • 将项目 item-identifier 移至回收站。(1115)

  • 恢复了项目 item-identifier。(1116)

  • 查看了项目 item-identifier 的卡号。(1117)

集合事件

  • 创建了集合 collection-identifier。(1300)

  • 编辑了集合 collection-identifier。(1301)

  • 删除了集合 collection-identifier。(1302)

群组事件

  • 创建了群组 group-identifier。(1400)

  • 编辑了群组 group-identifier。(1401)

  • 删除了群组 group-identifier。(1402)

组织事件

  • 邀请了用户 user-identifier。(1500)

  • 确认了用户 user-identifier。(1501)

  • 编辑了用户 user-identifier。(1502)

  • 删除了用户 user-identifier。(1503)

  • 编辑了用户 user-identifier 的群组。(1504)

  • 为用户 user-identifier 取消链接 SSO 。(1505)

  • 用户 user-identifier 加入了账户恢复。(1506)

  • 用户 user-identifier 退出了账户恢复。(1507)

  • 用户 user-identifier 重置了主密码。(1508)

  • 重置了用户 user-identifier 的 SSO 链接。(1509)

  • 用户 user-identifier 首次使用 SSO 登录。(1510)

  • 撤销了用户 user-identifier 的组织访问权限。(1511)

  • 恢复了用户 user-identifier 的组织访问权限。(1512)

  • 批准了用户 user-identifier 的设备。(1513)

  • 拒绝了用户 user-identifier 的设备。(1514)

  • 所有者/管理员删除了用户 user-identifier 的账户。(1515)

  • 用户 user-identifier 离开了组织。(1516)

  • 编辑了组织设置。(1600)

  • 清除了组织密码库。(1601)

  • 导出了组织密码库。(1602)

  • 管理提供商访问了组织密码库。(1603)

  • 组织启用了 SSO。(1604)

  • 组织禁用了 SSO。(1605)

  • 组织启用了 Key Connector。(1606)

  • 组织禁用了 Key Connector。(1607)

  • 家庭赞助同步完成。(1608)

  • 修改了集合管理设置。(1609)

  • 修改了策略 policy-identifier。(1700)

  • 添加了域名 domain-name。(2000)

  • 移除了域名 domain-name。(2001)

  • 域名 domain-name 已验证。(2002)

  • 域名 domain-name 未验证。(2003)

Secrets Manager 事件

Secrets Manager 事件可从组织密码库的报告选项卡和服务账户事件日志页面获取。捕获以下 Secrets Manager 事件:

  • 访问了机密 secret-identifier。(2100)

提供商事件

管理提供商的成员触发上述任何事件时,用户栏将记录提供商的名称。此外,每当管理提供商的成员访问您的组织密码库时,专用于提供商的事件也将被记录:

提供商访问事件

导出事件

导出事件日志将创建一个包含指定日期范围内所有事件的 .csv 文件:

导出事件日志

示例:

message,appIcon,appName,userId,userName,userEmail,date,ip,type
Logged in.,fa-globe,Web Vault - Chrome,1234abcd-56de-78ef-91gh-abcdef123456,Alice,[email protected],2021-06-14T14:22:23.331751Z,111.11.111.111,User_LoggedIn
Invited user zyxw9876.,fa-globe,Unknown,1234abcd-56de-78ef-91gh-abcdef123456,Alice,[email protected],2021-06-14T14:14:44.7566667Z,111.11.111.111,OrganizationUser_Invited
Edited organization settings.,fa-globe,Web Vault - Chrome,9876dcba-65ed-87fe-19hg-654321fedcba,Bob,[email protected],2021-06-07T17:57:08.1866667Z,222.22.222.222,Organization_Updated

API 响应

Bitwarden 公共 API/events 端点访问事件日志将返回 JSON 响应,例如下面这样:

{
  "object": "list",
  "data": [
    {
      "object": "event",
      "type": 1000,
      "itemId": "string",
      "collectionId": "string",
      "groupId": "string",
      "policyId": "string",
      "memberId": "string",
      "actingUserId": "string",
      "date": "2020-11-04T15:01:21.698Z",
      "device": 0,
      "ipAddress": "xxx.xx.xxx.x"
    }
  ],
  "continuationToken": "string"
}

SIEM 和外部系统集成

[译者注]SIEM(Security Information and Event Management,安全信息与事件管理)是一种综合性的网络安全解决方案,用于实时收集、分析、关联和响应来自企业IT基础设施中的安全事件和日志数据。其核心目标是通过集中化监控和智能分析,帮助组织检测威胁、调查安全事件并满足合规要求。

常见的 SIEM 工具有:

  • 商业产品:Splunk Enterprise Security、IBM QRadar、Microsoft Sentinel、LogRhythm 等

  • 开源/免费方案:Elastic Stack、OSSIM、Wazuh 等

当将数据从 Bitwarden 导出到其他系统时,可以使用 API​​ 和 CLI 的组合数据来收集数据。

例如,Bitwarden RESTful API 围绕组织结构收集数据。

  • GET /public/members:返回成员、ID 和分配的群组 ID

  • GET /public/groups:返回所有群组、ID、分配的集合及其权限

  • GET /public/collections:返回所有集合及其分配的群组

获得每个成员、群组和集合的唯一 ID 之后,您现在就可以使用 CLI 工具通过 CLI 命令 bw-list 来收集信息,该命令以 JSON 格式检索以下项目:

  • 组织成员

  • 项目

  • 集合

  • 群组

在收集这些数据后,您可以将行连接到它们唯一的 ID 上,以建立对您的 Bitwarden 组织所有部分的参考。有关 Bitwarden CLI 使用的更多信息,请参阅 Bitwarden 命令行工具 (CLI)

最后更新于