事件日志
最后更新于
最后更新于
对应的
事件日志是团队或企业组织内发生的事件的时间戳记录。要访问事件日志:
1、登录到 Bitwarden 网页 App 然后使用产品切换器打开管理控制台:
2、从导航中选择报告 → 事件日志:
Bitwarden 客户端和服务器都会捕获事件,其中大多数事件发生在客户端。服务器事件捕获是瞬时的,处理速度也很快,而客户端则每 60 秒向服务器推送一次事件数据,因此您可能会观察到最近事件的报告有轻微延迟。此外,客户端事件数据是通过 API 调用进行通信的,并且会重试,直到成功为止。因此,如果客户端无法与 API 通信,或者被修改为不发送事件,就无法接收并处理这些事件。
在网页 App 的事件日志视图中,选择粉红色的资源标识符(例如 1e685004)将做两件事:
打开一个对话框,其中包含与该资源关联的事件列表。例如,选择一个项目的标识符将打开该项目被编辑、被查看等的时间列表,包括哪个成员执行的每个操作。
导航到您访问资源的视图。例如,从事件日志中选择成员的标识符将带您进入成员视图并自动将列表筛选为该成员。
事件日志记录了超过 60 种不同类型的事件。事件日志界面捕捉事件的时间戳,包括应用程序的类型和 IP (通过悬停在 🌎地球图标上访问)等客户端 App 信息、连接到事件的用户、以及事件的描述。
下面列出了所有事件类型及其相应的类型代码:
Logged In. (1000)
Changed account password. (1001)
Enabled/updated two-step login. (1002)
Disabled two-step login. (1003)
Recovered account from two-step login. (1004)
Login attempted failed with incorrect password. (1005)
Login attempt failed with incorrect two-step login. (1006)
User Exported their personal Vault items. (1007)
Created item item-identifier. (1100)
Edited item item-identifier. (1101)
Permanently Deleted item item-identifier. (1102)
Created attachment for item item-identifier. (1103)
Deleted attachment for item item-identifier. (1104)
Moved item item-identifier to an organization. (1105)
Edited collections for item item-identifier (1106)
Viewed item item-identifier. (1107)
Viewed password for item item-identifier. (1108)
Viewed hidden field for item item-identifier. (1109)
Viewed security code for item item-identifier. (1110)
Copied password for item item-identifier. (1111)
Copied hidden field for item item-identifier. (1112)
Copied security code for item item-identifier. (1113)
Autofilled item item-identifier. (1114)
Sent item item-identifier to trash. (1115)
Restored item item-identifier. (1116)
Viewed Card Number for item item-identifier. (1117)
Created collection collection-identifier. (1300)
Edited collection collection-identifier. (1301)
Deleted collection collection-identifier. (1302)
Created group group-identifier. (1400)
Edited group group-identifier. (1401)
Deleted group group-identifier. (1402)
Invited user user-identifier. (1500)
Confirmed user user-identifier. (1501)
Edited user user-identifier. (1502)
Removed user user-identifier. (1503)
Edited groups for user user-identifier. (1504)
Unlinked SSO. (1505)
user-identifier enrolled in Master Password Reset. (1506)
user-identifier withdrew from Master Password Reset. (1507)
Master Password was reset for user-identifier. (1508)
Reset SSO link for user user-identifier. (1509)
user-identifer logged in using SSO for the first time. (1510)
Revoked organization access for user-identifier (1511)
Restores organization access for user-identifier (1512)
Edited organization settings. (1600)
Purged organization vault. (1601)
Exported organization vault. (1602)
Organization enabled SSO. (1604)
Organization disabled SSO. (1605)
Organization enabled Key Connector. (1606)
Organization disabled Key Connector. (1607)
Families Sponsorships synced. (1608)
Updated a Policy. (1700)
Added domain domain-name. (2000)
Removed domain domain-name. (2001)
Domain-name verified. (2002)
Domain-name not verified. (2003)
Accessed secret secret-identifier. (2100)
导出事件日志将创建一个包含指定日期范围内所有事件的 .csv 文件:
示例:
常见的 SIEM 工具有:
商业产品:Splunk Enterprise Security、IBM QRadar、Microsoft Sentinel、LogRhythm 等
开源/免费方案:Elastic Stack、OSSIM、Wazuh 等
当将数据从 Bitwarden 导出到其他系统时,可以使用 API 和 CLI 的组合数据来收集数据。
例如,Bitwarden RESTful API 围绕组织结构收集数据。
GET /public/members:返回成员、ID 和分配的群组 ID
GET /public/groups:返回所有群组、ID、分配的集合及其权限
GET /public/collections:返回所有集合及其分配的群组
获得每个成员、群组和集合的唯一 ID 之后,您现在就可以使用 CLI 工具通过 CLI 命令 bw-list 来收集信息,该命令以 JSON 格式检索以下项目:
组织成员
项目
集合
群组
事件日志可以从 的 /events 端点访问和导出,并无限期保留,但每次只能查看 367 天的数据(由范围选择器决定)。
每一个事件都使用类型代码(1000、1001 等)关联,以标识事件所捕获的操作。 使用类型代码来标识被事件所记录的操作。
User updated a password issued through . (1008)
User migrated their decryption key with . (1009)
User requested . (1010)
Organization Vault access by a managing . (1603)
Secrets Manager 事件可从组织密码库的报告选项卡和获取。捕获以下 Secrets Manager 事件:
当的成员触发上述任何事件时,用户栏将记录提供商的名称。此外,每当管理提供商的成员访问您的组织密码库时,专用于提供商的事件也将被记录:
从 的 /events 端点访问事件日志将返回 JSON 响应,例如下面这样:
[译者注]:(Security Information and Event Management,安全信息与事件管理)是一种综合性的网络安全解决方案,用于实时收集、分析、关联和响应来自企业IT基础设施中的安全事件和日志数据。其核心目标是通过集中化监控和智能分析,帮助组织检测威胁、调查安全事件并满足合规要求。
在收集这些数据后,您可以将行连接到它们唯一的 ID 上,以建立对您的 Bitwarden 组织所有部分的参考。有关 Bitwarden CLI 使用的更多信息,请参阅 。