⮐ Bitwarden Help Center 个人主页 联系我

事件日志

对应的官方文档地址

事件日志是团队或企业组织内发生的事件的时间戳记录。管理员和所有者可以从组织密码库的报告选项卡访问事件日志:

事件日志可以从 Bitwarden 公共 API/events 端点访问和导出,并无限期保留。大多数事件捕获在各种 Bitwarden 客户端中采取的操作,这些客户端每 60 秒将事件数据推送到服务器,因此您可能会注意到最近事件报告中有轻微的延迟。

检查事件

在 Web 应用程序的事件日志视图中,选择一个粉红色的资源标识符(例如 1e685004)将做两件事:

  1. 打开一个对话框,其中包含与该资源关联的事件列表。例如,选择一个项目的标识符将打开该项目被编辑、查看等的时间列表,包括哪个成员执行的每个操作。

  2. 导航到您访问资源的视图。例如,从事件日志中选择成员的标识符将带您进入成员视图并自动将列表过滤到该成员。

事件列表

事件日志记录了超过 50 种不同类型的事件。事件日志界面捕捉事件的时间戳、包含了应用程序的类型和 IP (通过悬停在 🌎地球图标上访问)的客户端应用程序信息、连接到事件的用户、以及事件的描述。

每一个事件都使用类型代码(10001001 等)关联,以标识事件所捕获的操作。Bitwarden 公共 API 使用类型代码来标识被事件所记录的操作。

下面列出了所有事件类型及其相应的类型代码:

用户事件

  • Logged In. (1000)

  • Changed account password. (1001)

  • Enabled/updated two-step login. (1002)

  • Disabled two-step login. (1003)

  • Recovered account from two-step login. (1004)

  • Login attempted failed with incorrect password. (1005)

  • Login attempt failed with incorrect two-step login. (1006)

  • User Exported their personal Vault items. (1007)

  • User updated a password issued through Admin Password Reset. (1008)

  • User migrated their decryption key with Key Connector. (1009)

项目事件

  • Created item item-identifier. (1100)

  • Edited item item-identifier. (1101)

  • Permanently Deleted item item-identifier. (1102)

  • Created attachment for item item-identifier. (1103)

  • Deleted attachment for item item-identifier. (1104)

  • Shared item item-identifier. (1105)

  • Edited collections for item item-identifier (1106)

  • Viewed item item-identifier. (1107)

  • Viewed password for item item-identifier. (1108)

  • Viewed hidden field for item item-identifier. (1109)

  • Viewed security code for item item-identifier. (1110)

  • Copied password for item item-identifier. (1111)

  • Copied hidden field for item item-identifier. (1112)

  • Copied security code for item item-identifier. (1113)

  • Auto-filled item item-identifier. (1114)

  • Sent item item-identifier to trash. (1115)

  • Restored item item-identifier. (1116)

  • Viewed Card Number for item item-identifier. (1117)

集合事件

  • Created collection collection-identifier. (1300)

  • Edited collection collection-identifier. (1301)

  • Deleted collection collection-identifier. (1302)

群组事件

  • Created group group-identifier. (1400)

  • Edited group group-identifier. (1401)

  • Deleted group group-identifier. (1402)

组织事件

  • Invited user user-identifier. (1500)

  • Confirmed user user-identifier. (1501)

  • Edited user user-identifier. (1502)

  • Removed user user-identifier. (1503)

  • Edited groups for user user-identifier. (1504)

  • Unlinked SSO. (1505)

  • user-identifier enrolled in Master Password Reset. (1506)

  • user-identifier withdrew from Master Password Reset. (1507)

  • Master Password was reset for user-identifier. (1508)

  • Reset SSO link for user user-identifier. (1509)

  • user-identifer logged in using SSO for the first time. (1510)

  • Revoked organization access for user-identifier (1511)

  • Restores organization access for user-identifier (1512)

  • Edited organization settings. (1600)

  • Purged organization vault. (1601)

  • Exported organization vault. (1602)

  • Organization Vault access by a managing Provider. (1603)

  • Organization enabled SSO. (1604)

  • Organization disabled SSO. (1605)

  • Organization enabled Key Connector. (1606)

  • Organization disabled Key Connector. (1607)

  • Families Sponsorships synced. (1608)

  • Updated a Policy. (1700)

  • Added domain domain-name. (2000)

  • Removed domain domain-name. (2001)

  • Domain-name verified. (2002)

  • Domain-name not verified. (2003)

提供商事件

管理提供商的成员触发上述任何事件时,用户栏将记录提供商的名称。此外,每当管理提供商的成员访问您的组织密码库时,专用于提供商的事件也将被记录:

导出事件

导出事件日志将创建一个包含指定日期范围内所有事件的 .csv 文件:

示例:

message,appIcon,appName,userId,userName,userEmail,date,ip,type
Logged in.,fa-globe,Web Vault - Chrome,1234abcd-56de-78ef-91gh-abcdef123456,Alice,alice@bitwarden.com,2021-06-14T14:22:23.331751Z,111.11.111.111,User_LoggedIn
Invited user zyxw9876.,fa-globe,Unknown,1234abcd-56de-78ef-91gh-abcdef123456,Alice,alice@bitwarden.com,2021-06-14T14:14:44.7566667Z,111.11.111.111,OrganizationUser_Invited
Edited organization settings.,fa-globe,Web Vault - Chrome,9876dcba-65ed-87fe-19hg-654321fedcba,Bob,bob@bitwarden.com,2021-06-07T17:57:08.1866667Z,222.22.222.222,Organization_Updated

API 响应

Bitwarden 公共 API/events 端点访问事件日志将返回 JSON 响应,例如下面这样:

{
  "object": "list",
  "data": [
    {
      "object": "event",
      "type": 1000,
      "itemId": "string",
      "collectionId": "string",
      "groupId": "string",
      "policyId": "string",
      "memberId": "string",
      "actingUserId": "string",
      "date": "2020-11-04T15:01:21.698Z",
      "device": 0,
      "ipAddress": "xxx.xx.xxx.x"
    }
  ],
  "continuationToken": "string"
}

SIEM 和外部系统集成

当将数据从 Bitwarden 导出到其他系统时,可以使用 API​​ 和 CLI 的组合数据来收集数据。

例如,Bitwarden RESTful API 围绕组织结构收集数据。

  • GET /public/members:返回成员、ID 和分配的群组 ID

  • GET /public/groups:返回所有群组、ID、分配的集合及其权限

  • GET /public/collections:返回所有集合及其分配的群组

获得每个成员、群组和集合的唯一 ID 之后,您现在就可以使用 CLI 工具通过 CLI 命令 bw-list 来收集信息,该命令以 JSON 格式检索以下项目:

  • 组织成员

  • 项目

  • 集合

  • 群组

在收集这些数据后,您可以将行连接到它们唯一的 ID 上,以建立对您的 Bitwarden 组织所有部分的参考。有关使用 Bitwarden CLI 的更多信息,请参阅 Bitwarden 命令行工具(CLI)

上一页报告下一页Splunk SIEM

最后更新于