Как происходит контроль за операторами СЦ, вообще логирование действий в IP KVM системе — что можно логировать и как это делается.

Логи — это запись базовых действий (зашел/вышел, подключился/отключился). Но, как обычно, дьявол кроется в мелочах. Вроде бы, простая тема, но на самом деле в ней много нюансов.

Цитата из ТЗ:
«… система должна иметь возможность логирования действий пользователей и других основных событий…»

Что реально хочет заказчик, что он подразумевает под этой фразой? Скорее всего, он хочет, чтобы максимально все записывалось, но что именно?

Здесь в правой части список неких событий, которые привязаны ко времени — что-то подсоединилось, кто-то где-то авторизировался, какое-то устройство пропало, что-то перезагрузилось и т.д.

Кому такой лог интересен? Скорее всего, интеграторам, которые запускают систему, чтобы убедиться, что все работает, наверное, обслуживающему персоналу для того, чтобы точно знать, что у них ничего не отвалилось, или что произошло.

Основные события:
· Авторизация пользователя;
· Завершение сессии пользователя;
· Подключение источника.

Технические логи, которыми пользуются те, кто обслуживает систему:
· Загрузка устройства;
· Перезагрузка устройства (самостоятельно или по какой-то причине);
· Изменение текущих настроек.

Производные от базовых событий — это все, что так или иначе относится к работе оборудования:
· Команда пуш, подключение источника;
· Активация пресета, подключение источников;
· Изменение шаблона видеостены, подключение источника.

Все эти логи вызывают интерес только у технических специалистов, следящих за работой систем (обслуживающий персонал).

Это довольно стандартное понимание логов, как некого перечня того, что технически происходило с системой. Но заказчик в большинстве случаев имеет в виду немножко другое.

Для чего и для кого необходимо логирование
Прежде всего логирование необходимо для технического обслуживания системы. У заказчика, а также у компании, которая обслуживает работу СЦ, кроме инженерных, есть другие службы и функции, например:

· Служба безопасности;
· Анализ действий оператора;
· Анализ работы информационных систем заказчика;
· Оптимизация работы операторов и информационных;
· Обучение сотрудников, работе с типовыми задачами.

Если есть типовые шаблоны действия операторов, они должны выполнять их правильно. Можно не сажать новичка рядом с опытным и говорить: «Смотри, как Вася делает», а просто показать ролик, как это делается, причем не нарисованный, а реальный.

Пример логирования для службы безопасности
Отсюда видно, что пользователь авторизироваться только с третьей попытки, и что, возможно, это была попытка взлома. Но для полного анализа здесь не хватает данных.

Ситуация прояснится, если посмотреть, что Иванов пробовал набирать на клавиатуре:
Отсюда видно, что первый раз он набирал пароль не в той раскладке, второй раз ошибся и пропустил букву, а третий раз набрал правильно.

По-иному ситуация выглядит, когда человек перебирал стандартные пароли:
Если видеть технические стандартные логи плюс то, что человек набирал на клавиатуре, то можно проанализировать его действия с точки зрения того, что он реально делал, а не просто подключился/не подключился. В данном случае для службы безопасности есть пища для размышления: в первом случае человек просто два раза ошибся, а во втором, скорее всего, была попытка взлома, причем успешная. Тут дальше надо посмотреть, что он делал в системе, например, что-то копировал. Для этого есть логи с указанным временем, например, запись с видеокамер, которые стоят в зале СЦ. Из них будет понятно, кто сидел на этом месте, и уже начинать разбор.

Следующий вариант:
Здесь мы видим, что пользователь знает пароль и нюансы, что одна или две буквы пароля должны быть большими. Возможно, человек подсмотрел, как кто-то вводит пароль, и это опять похоже на попытку взлома, по крайней мере, это наводит на мысли.

Если мы видим, что человек набирает, это дает больше информации для принятия решений, в том числе для оперативного мониторинга того, что делает оператор. Для анализа работы информационных систем логирование позволяет увидеть, как система реагировала на то или иное событие. Для оптимизации работы операторов хорошо знать, видит ли оператор, что отображает информационная система.

Также логирование помогает выявлять намеренные, вредоносные действия пользователей. Например, уволенный озлобленный админ решил поменять пароль. Такое бывает на самом деле достаточно часто. Конечно, проблема решаемая, но решаемая проще, если знать, что человек набрал. Поэтому лучше подстраховаться.

У нас есть стандартные логи простых действий (авторизация, вход/выход, подключение устройств), которые генерят IP KVM системы. Но не хватает механизма фиксации действий пользователей.

Как получить запись действий оператора
Оператор под камерой
Самое простое решение — поставить везде камеры и просто фиксировать, что делает оператор.

Но это не самое хорошее решение, потому что при просмотре с ограниченным полем зрения изображение будет под кривым углом. На экране не всегда хорошо видно, какие кнопки нажимает оператор, а самое главное, непонятно, когда. Мы получим километровое видео без фиксации каки-либо событий, которое потом надо просматривать, синхронизировать по времени и т.д.

Есть решение получше.

Программно-аппаратный комплекс записи действий оператора
ATEN CCVSR + ATEN IP-KVM или TnTv IP-KVM

Это решение давно придумано компанией Aten, но для другого проекта. В Aten есть IP KVM переключатели и программно-аппаратный комплекс CCVSR. Это ПО ставится на сервер и пишет удаленные сессии. Компания TnTv доработала этот вариант. Сейчас он умеет работать с IP KVM системами и Aten, и TnTv.

Программно-аппаратный комплекс в реальном времени записывает экраны и, самое главное, нажатие абсолютно всех кнопок, включая технические (ALT и пр.), с привязкой ко времени.

Оператор, у которого есть клавиатура, мышь и монитор, подключается к IP KVM шлюзу. Это некое устройство, которое позволяет удаленно подключиться к компьютеру. Дальше HDMI и USB подключаются к IP KVM приемнику, и все это идет в локальную сеть. В локальной сети стоит сервер (или несколько серверов), на котором установлен ПО комплекса и происходит запись сессии, включая нажатия клавиш.

Рассмотрим работу комплекса на примере.
Пользователь авторизируется, выбирает источник и что-то набивает:

Переходим на рабочее место администратора, некую веб-морду сервера. Отвечая на возможные вопросы о безопасности, этот сервер стоит в закрытом сегменте IP KVM системы и максимально защищен от взломов и физического доступа.

Начинается запись сессии, в одном окне мы видим реальное отображение экрана оператора, а в другом отражается список нажатых кнопок.

Причем в момент, когда оператор начинает что-то нажимать, появляются метки времени.

Фактически, это полное логирование всех действий всех пользователей.
Здесь можно настраивать логику записи, выбирать, кого пишем, кого не пишем, кого писать 24*7, а кого по нажатию кнопки. Обычно в СЦ, которые работают 24*7, пишут круглосуточно, не останавливаясь.

Важно, что здесь пишется именно рабочее место. Запись на источнике и на рабочих местах — не одно и то же. Мы уже говорили, что к одному компьютеру в один момент времени может подключиться два и более операторов. Если мы делаем запись на источнике, то есть пишем с его видеовыхода, то мы никогда не узнаем, кто конкретно из операторов совершил это действие. Нажимаются кнопки, вводятся буквы, но непонятно, кто конкретно это делает — Иванов или Петров. Поэтому каждое рабочее место пишется отдельно. Тогда мы получаем запись действий Иванова и запись действий Петрова.

Посмотрим, как это работает.

Иванов подключаются к компьютеру, набивает текст и уходит.
В этот момент на другом рабочем месте Петров решил поработать с этим сервером. Заходит, видит на экране надпись, стирает ее, пишет свою.

То есть два оператора поработали с одним сервером. Если бы мы писали это на источнике, у нас была бы единая сессия. Мы бы не видели процесс логирования операторов, потому что это происходит не на сервере, а в IP KVM системе. В какой-то момент времени Иванов написал одно, Петров это стер, написал другое, и кто что написал, было бы не понятно.

В случае записи на рабочих местах видны действия на двух столах (8 и 9):
Мы видим, что в интересующий нас момент времени работал Иванов и Петров, и можем посмотреть каждое действие каждого сотрудника.

Как уже говорили, в большинстве случаев запись ведется 24*7, но можно настроить систему так, чтобы она велась по нажатию кнопки. Обычно для этого устанавливается время таймаута, то есть нажали кнопку, и запись автоматически пошла, а через установленное время останавливается, если в это время человек ничего не делает на клавиатуре и не двигает мышку. Обычно в крупных компаниях, где есть автоблокирование рабочих мест, это синхронизируется со скринсейвером системы. Например, если человек не работает 10 минут, включается корпоративный скринсейвер, который блокирует компьютер, и запись останавливается. Человек дернул мышкой, начал вводить пароль — запись пошла.

Вернемся к вопросам безопасности. Поскольку запись — это видео, а это достаточно большие объемы данных, то все пишется либо на сервера, либо на внешние сетевые носители (NAS). Кажется, что не очень секьюрно класть записи всех сессий с возможными паролями на внешние носители. Безопасность здесь обеспечивается, во-первых, доступом к тому, где все это хранится. Обычно это отдельное помещение с очень жесткой системой контроля. Во-вторых, с точки зрения хранимой информации, компания Aten разработала свой собственный формат файлов, в котором хранятся видео.

На самом деле этот формат — это мини приложение на основе Java. В нем есть мощный алгоритм поиска по событиям. Изменить структуру файла невозможно, его можно выгрузить только в этом формате. Единственное, что можно — только его удалить. В больших организациях есть специальные архивы, которые позволяют удобно по разным идеологическим и логическим принципам разбивать записи и хранить их как библиотеки. Естественно, там можно настраивать, как долго будет храниться запись. Это похоже на обычную систему видеорегистрации, которая пишет в том разрешении, которое есть (вплоть до 4К). Когда люди к нам обращаются за подобной системой, мы рассчитываем, сколько надо серверов, NAS и т.д.

Технические логи + ATEN CCVSR + ATEN IP-KVM или TnTv IP-KVM =

Максимум информации для анализа действий пользователей и работы информационных систем

Но почему тогда большинство ограничивается тем, что пишут технические логи (запуск/остановка устройств)? Проблема в том, что многие не знают о существовании такой системы, думают, что есть только технические логи. Когда мы клиентам рассказываем об этом решении, то многие интересуются и берут себе.

По большому счету это не просто запись технической информации, а расширение понятия логирования. Этот инструмент может использоваться разными службами предприятий. Понятно, что если в организации невозможно надежно защитить место, где хранятся логи, эту систему применять не стоит, либо надо делать запись на источники, чтобы не было видно логинов и паролей.

Одна очень крупная компания с большим офисом заинтересовалась именно тем, что система позволяет анализировать действия операторов — правильно ли операторы реагируют на инциденты, строго ли соблюдают требования регламентов, и т.д., плюс, насколько им удобно выполнять свою работу. Люди озадачены реально повышением производительности труда. Здесь есть еще одна важная часть — обучение. Если произошел какой-то инцидент, например, задвижка сломалась, все, что делает оператор записывается. Когда приходит молодой сотрудник, ему показывают реальное видео из библиотеки знаний, что делать в случае поломки задвижки, что он увидит на реальном рабочем месте.

На самом деле если кому-то не надо записывать нажатие кнопок, это можно не делать, а использовать систему просто для записи сессии. Но зато у вас будет высококачественная запись рабочих столов, а не записи с веб-камер с потолка.