Настроить систему для модуля «Аудит Безопасности 3.0»

Начиная с версии системы 2026.4 используйте модуль Аудит Безопасности 3.0. При его включении в среде Kubernetes автоматически развернётся микросервис с помощью настроенного в модуле переносимого сервиса. Этот микросервис отвечает за запись событий в базу данных и их передачу в интерфейс системы для отображения в виджете Аудит безопасности.

Перед загрузкой модуля из ELMA365 Store и его настройкой задайте его подключение к базе данных PostgreSQL, в которой будут хранится записи регистрируемых событий. Для этого:

Если на стороне PostgreSQL применяется защищённое соединение, настройте подключение модуля к базе данных аудита с использованием SSL.

Важно: если в компании ранее использовался аудит безопасности и вы обновили систему до версии 2026.4 или выше, используйте инструкции для обновления модуля до актуальной версии 3.0.

Шаг 1. Подготовить строку подключения к базе данных PostgreSQL

Данные, которые собираются в системе и отображаются с помощью модуля Аудит безопасности, сохраняются в базе данных PostgreSQL. В ней установите расширения uuid-ossp и pg_trgm. Также оцените объём дискового хранилища в зависимости от обрабатываемой в вашей компании информации. Подробнее о настройке PostgreSQL и установке расширений uuid-ossp и pg_trgm читайте в разделе «Базы данных».

Информация из модуля сохраняется в базе данных отдельно от данных системы. При первом подключении модуля к базе данных в ней создадутся все необходимые для работы таблицы. По умолчанию наименование базы данных для модуля Аудит безопасности — audit.

Чтобы подключить модуль к базе данных, подготовьте строку подключения к PostgreSQL для операций записи и чтения в формате: postgresql://user:password@hostname:port/databaseName?sslmode=disable, где:

user — имя пользователя PostgreSQL, имеющего права на базу данных databaseName;
password — пароль для пользователя PostgreSQL;
hostname — IP или доменное имя сервера PostgreSQL;
port — порт для подключения к PostgreSQL (стандартный порт — 5432);
databaseName — наименование базы данных (стандартное наименование — audit);
sslmode — использование защищённого соединения.

Шаг 2. Подключить модуль к базе данных аудита безопасности

Чтобы обеспечить безопасное подключение к базе данных аудита, создайте секрет Kubernetes со строкой подключения к ней в пространстве имён переносимых сервисов. По умолчанию — elma365-applets. Для этого выполните команду:

kubectl create secret generic audit-db-connections \
--namespace="elma365-applets" \
--from-literal=PSQL_URL="db" \
--dry-run=client -o yaml | kubectl apply -f –

где:

elma365-applets — пространство имён переносимых сервисов;
db — строка подключения к базе данных аудита, подготовленная ранее.

Проверьте, что для переносимых сервисов включено использование ConfigMap.
Передайте созданный ранее секрет Kubernetes в переносимый сервис для его подключения к базе данных аудита. Для этого задайте следующие параметры в ConfigMap, выполнив команду:

kubectl apply -f - << EOF
apiVersion: v1
kind: ConfigMap
metadata:
  namespace: "elma365-applets"
  name: elma365-babysitter-config
data:
  head.ext_3d37e007-ce67-4672-9fd9-1f477e9e4fe4.audit: |
    secretMappings:
      - secretRef: "audit-db-connections"
        type: "env"
EOF

где:

elma365-applets — пространство имён переносимых сервисов;
head.ext_3d37e007-ce67-4672-9fd9-1f477e9e4fe4.audit — идентификатор переносимого сервиса в составе модуля в формате <название_вашей_компании>.<id_загруженного_модуля>.audit;
audit-db-connections — имя секрета Kubernetes, который содержит строку подключения к базе данных аудита.

После настройки подключения к базе данных аудита установите модуль Аудит Безопасности 3.0 из каталога ELMA365 Store.

Настроить подключение модуля к базе данных аудита с использованием SSL (опционально)

Если на стороне базы данных PostgreSQL вы настроили обязательное шифрование трафика и проверку сертификатов, выполните следующие шаги:

Создайте секрет с существующими клиентскими сертификатами для модуля:

kubectl create secret generic postgresql-client-ssl-secret --from-file=root.crt=root.crt --from-file=tls.crt=client.crt --from-file=tls.key=client.key --type=kubernetes.io/tls

Сформируйте строку подключения к базе данных для модуля:

postgres://user:pgpassword@audit-pg/audit?sslmode=verify-full&sslrootcert=/etc/certs/root.crt&sslcert=/etc/certs/tls.crt&sslkey=/etc/certs/tls.key

где:

user — имя пользователя PostgreSQL, который должен быть указан в клиентском сертификате (CN);
pgpassword — пароль подключения к базе данных;
audit-pg — адрес базы данных аудита безопасности;
audit — название базы данных аудита безопасности;
sslrootcert — путь до корневого сертификата;
sslcert — путь до клиентского сертификата;
sslkey — путь до файла с закрытым ключом клиентского сертификата.

Создайте секрет для подключения модуля к базе данных:

kubectl create secret generic audit-db-connections \
  --namespace="elma365-applets" \
  --from-literal=PSQL_URL="db" \
  --dry-run=client -o yaml | kubectl apply -f -

где:

elma365-applets — пространство имён переносимых сервисов;
db — строка подключения к базе данных аудита.

Проверьте, что для переносимых сервисов включено использование ConfigMap.
Передайте созданный ранее секрет Kubernetes в переносимый сервис модуля для его подключения к базе данных аудита. Для этого задайте следующие параметры в ConfigMap, выполнив команду:

где:

elma365-applets — пространство имён переносимых сервисов;
head.ext_3d37e007-ce67-4672-9fd9-1f477e9e4fe4.audit — идентификатор переносимого сервиса в составе модуля в формате <название_вашей_компании>.<id_загруженного_модуля>.audit;
audit-db-connections — имя секрета Kubernetes, который содержит строку подключения к базе данных аудита.

audit_service.html update-audit.html

Была ли статья полезной?