В журнале Оркестратора регистрируются события, относящиеся к классу «Инцидент безопасности». Их можно найти в UI Оркестратора в разделе «Журнал», вкладка «Инцидент безопасности». К ним относятся:
1) «Конфигурационный файл изменен». Фиксируется, если с прошлого запуска файл изменился. В Оркестраторе есть возможность просмотреть прошлое содержание конфигурационного файла.
2) «Пользователь включен». Фиксируется, если администратор установил в настройках отметку, что пользователь активен.
3) «Пользователь отключен». Фиксируется, если администратор заблокировал пользователя.
4) «Пользователю назначены роли». Фиксируется, если администратор назначил выбранные роли/роль пользователю.
5) «Пользователь авторизовался». Фиксируется, когда пользователя еще как такового нет, есть только его реквизиты (credential) – т.е. будущему пользователю только отдали его сессию.
6) «Пользователь не существует». Фиксируется в разных ситуациях. Например, если были запрошены изменения для пользователя, найти которого по Id не удалось.
7) «Пользователь заблокирован». Фиксируется, если пользователь был заблокирован системой при достижении максимального количества неправильных попыток входа. Число попыток настраивается в конфигурационном файле.
8) «Ошибка авторизации». Фиксируется, если пользователь ввел неправильные данные учетной записи.
9) «Ошибка авторизации в AD». Фиксируется, если пользователь входил с помощью учетной записи Active Directory и указал неправильные данные.
10) «Группа AD не имеет привязки к роли». Для пользователя AD, входящего в определенную группу AD, в UI Оркестратора должна быть назначена роль, соотнесенная с этой группой AD. Событие фиксируется, если такой привязки нет. В этом случае пользователь AD не может войти в систему.
11) «Пользователь вышел из системы». Фиксируется при разлогине пользователя.
12) «Срок действия учетной записи истек». Фиксируется, если срок для учетной записи был задан, и он истек.
13) «Робот занял свободную лицензию». Фиксируется в случае, когда робот после запуска запросил лицензию и успешно ее получил.
14) «Ошибка занятия лицензии роботом». Фиксируется, если робот не смог получить лицензию. Причины могут быть разными, например, отсутствие свободной лицензии.
15) «Студия заняла свободную лицензию». Фиксируется в случае, когда при запуске Студии был запрошен оркестраторный тип лицензии.
16) «Ошибка занятия лицензии Студией». Фиксируется, если Студия не смогла получить оркестраторную лицензию.
17) «Очистка логов». Фиксируется, если администратор очистил журнал событий.
Дополнительно в журнале Оркестратора на вкладке «Все события Оркестратора» возможно просмотреть события, которые также можно отнести к ИБ, а именно:
1) «Пользователь изменен». Фиксируется при любых изменениях пользователя. Как правило, идет в связке с событием, которое определяет это изменение: например, если изменен пароль пользователя или роль.
2) «Пользователь изменил свой пароль».
3) «Роль изменена». Фиксируется, если настройки прав роли были изменены.
4) «Машина изменена». Фиксируется при любых изменениях машины робота.
5) «Создан запрос на новую лицензию».
6) «Создан запрос на замен лицензии».