事件日志
对应的官方文档地址
使用事件日志可以跟踪您组织的活动并溯源安全事件。事件日志是带有时间戳的记录,用于捕获整个团队或企业组织层面中各类变更和使用情况。您可以通过网页 App 以及 Bitwarden 公共 API 的 /events 端点访问这些日志。虽然事件日志数据会被无限期保留,您一次最多只能查看 367 天的数据。
访问事件日志
要在 Bitwarden 网页 App 中查看事件日志:
1、从产品切换器打开管理控制台:
2、选择报告 → 事件日志。
3、(可选)调整日期范围然后选择更新。
某些事件在事件列中包含一个粉红色资源标识符:
选择此事件标识符可以:
查看所有关联的事件列表,例如何时编辑了某个项目或打开了某个企业策略。
转至您可以访问和修改该资源(如果可用)的页面。例如,从事件日志中选择成员的标识符将带您进入成员视图,并自动将列表筛选为该成员。
您还可以从网页 App 将日志导出为 .csv,或通过 Bitwarden Public API 将日志导出为 JSON。
事件何时会被保存
Bitwarden 会在客户端和服务器端同时捕获事件。服务器端事件会即时记录,而客户端事件(占绝大多数)则每 60 秒向服务器传输一次。因此,最近的活动可能会出现短暂的延迟。客户端会自动重试失败的传输,但如果客户端失去 API 连接或或被修改为不发送事件,则无法记录事件。
事件日志依赖于用户上报的数据和客户端层面的数据,这些数据在技术上可能被篡改或屏蔽。鉴于这种潜在情况,Bitwarden 事件日志可能无法满足所有用户和组织的安全、法律取证或审计需求。
事件类型
Bitwarden 可以记录超过 60 多种事件类型,下面列出了每种事件类型及其类型代码。对于每个事件,事件日志页面将显示:
事件的时间戳
客户端应用程序的类型和 IP(通过悬停在客户端列的值或客户端图标上以获取详细信息)
连接到事件的成员
事件的描述
事件使用类型代码(1000、1001 等)关联,以标识事件所捕获的操作。Bitwarden 公共 API 使用类型代码来标识被事件所记录的操作。
用户事件
登录了。(
1000)修改了账户密码。(
1001)启用/更新了两步登录。(
1002)禁用了两步登录。(
1003)从两步登录中恢复了账户。(
1004)登录尝试因密码错误而失败。(
1005)登录尝试因两步登录错误而失败。(
1006)用户导出了他们个人的密码库项目。(
1007)用户通过账户恢复更新了密码。(
1008)用户使用 Key Connector 迁移了他们的解密密钥。(
1009)用户请求了设备批准 。(
1010)
项目事件
创建了项目
item-identifier。(1100)编辑了项目
item-identifier。(1101)永久删除了项目
item-identifier。(1102)为项目
item-identifier创建了附件。(1103)为项目
item-identifier删除了附件。(1104)将项目
item-identifier移动至组织。(1105)编辑了项目
item-identifier的集合。(1106)查看了项目
item-identifier。(1107)查看了项目
item-identifier的密码。(1108)查看了项目
item-identifier的隐藏字段。(1109)查看了项目
item-identifier的安全码。(1110)复制了项目
item-identifier的密码。(1111)复制了项目
item-identifier的隐藏字段。(1112)复制了项目
item-identifier的安全码。(1113)自动填充了项目
item-identifier。(1114)将项目
item-identifier发送到了回收站。(1115)恢复了项目
item-identifier。(1116)查看了项目
item-identifier的卡号。(1117)
集合事件
创建了集合
collection-identifier。(1300)编辑了集合
collection-identifier。(1301)删除了集合
collection-identifier。(1302)
群组事件
创建了群组
group-identifier。(1400)编辑了群组
group-identifier。(1401)删除了群组
group-identifier。(1402)
组织事件
邀请了用户
user-identifier。(1500)确认了用户
user-identifier。(1501)编辑了用户
user-identifier。(1502)删除了用户
user-identifier。(1503)编辑了用户
user-identifier的群组。(1504)为用户
user-identifier取消链接 SSO。(1505)用户
user-identifier加入了账户恢复。(1506)用户
user-identifier退出了账户恢复。(1507)为用户
user-identifier重置了主密码。(1508)重置了用户
user-identifier的 SSO 链接。(1509)用户
user-identifier首次使用 SSO 登录。(1510)撤销了用户
user-identifier的组织访问权限。(1511)恢复了用户
user-identifier的组织访问权限。(1512)批准了用户
user-identifier的设备。(1513)拒绝了用户
user-identifier的设备。(1514)删除了用户
user-identifier。(1515)用户
user-identifier退出了组织。(1516)编辑了组织设置。(
1600)清除了组织密码库。(
1601)导出了组织密码库。(
1602)管理提供商访问了组织密码库。(
1603)组织启用了 SSO。(
1604)组织禁用了 SSO。(
1605)组织启用了 Key Connector。(
1606)组织禁用了 Key Connector。(
1607)家庭赞助同步完成。(
1608)修改了集合管理设置。(
1609)启用了限制集合创建设置。 (
1610)停用了限制集合创建设置。(
1611)启用了限制集合删除设置。(
1612)停用了限制集合删除设置。(
1613)启用了限制项目删除设置。(
1614)停用了限制项目删除设置。(
1615)启用了允许所有者和管理员管理所有集合和项目设置。(
1616)停用了允许所有者和管理员管理所有集合和项目设置。(
1617)修改了策略
policy-identifier。(1700)添加了域名
domain-name。(2000)移除了域名
domain-name。(2001)域名
domain-name已验证。(2002)域名
domain-name未验证。(2003)
Secrets Manager 事件
Secrets Manager 事件可从组织密码库的报告选项卡和机器账户事件日志页面获取。以下 Secrets Manager 事件将被捕获:
访问了标识符为
secret-identifier的机密。(2100)创建了标识符为
secret-identifier的新机密。(2101)编辑了标识符为
secret-identifier的机密。(2102)删除了标识符为
secret-identifier的机密。(2103)访问了标识符为
project-identifier的工程。(2200)创建了标识符为
project-identifier的新工程。(2201)编辑了标识符为
project-identifier的工程。(2202)删除了标识符为
project-identifier的工程。(2203)向标识符为
machine-account-identifier的机器账户添加了账户user-identifier。(2300)从标识符为
machine-account-identifier的机器账户移除了账户user-identifier。(2301)向标识符为
machine-account-identifier的机器账户添加了群组group-identifier。(2302)从标识符为
machine-account-identifier的机器账户移除了群组group-identifier。(2303)创建了标识符为
machine-account-identifier的机器账户。(2304)删除了标识符为
machine-account-identifier的机器账户。(2305)
提供商事件
当管理提供商的成员触发上述任何事件时,用户列将记录提供商的名称。此外,每当管理提供商的成员访问您的组织密码库时,专用于提供商的事件也将被记录:
导出事件
要导出指定日期范围内所有事件的 .csv 文件,请选择导出:
示例:
您还可以下载 .csv 成员列表,其中包含了特定于账户的详细信息,例如 Secrets Manager 是否已激活以及他们在组织中的状态。
API 响应
从 Bitwarden 公共 API 的 /events 端点访问事件日志将返回 JSON 响应,例如下面这样:
SIEM 和外部系统集成
[译者注]:SIEM(Security Information and Event Management,安全信息与事件管理)是一种综合性的网络安全解决方案,用于实时收集、分析、关联和响应来自企业 IT 基础设施中的安全事件和日志数据。其核心目标是通过集中化监控和智能分析,帮助组织检测威胁、调查安全事件并满足合规要求。
常见的 SIEM 工具有:
商业产品:Splunk Enterprise Security、IBM QRadar、Microsoft Sentinel、LogRhythm 等
开源/免费方案:Elastic Stack、OSSIM、Wazuh 等
Bitwarden 提供了一套与安全信息和事件管理 (SIEM) 平台的全面集成,以利用事件日志:
Bitwarden 还提供了多种数据访问方法,这些数据可能与 SIEM 平台相关,但目前还没有特定的集成。有关上面未列出的 SIEM 的配置帮助,请参阅非原生 SIEM。
最后更新于