← Назад к списку статей

Новая функция: лог операций (CSV)

Контроль над системой

Задачи, входящие в работу администраторов систем безопасности, довольно широки. В них входит, помимо прочего, прямой контроль за действиями охраны в случае тревоги и анализ её реагирования постфактум. Вторая из них немыслима без обработки большого количества информации, собранной из различных источников, и Xeoma вполне может стать таким источником. В этой статье мы подробнее рассмотрим, что Xeoma может хранить в своих логах, как эту информацию достать и использовать.

Классическая система видеонаблюдения построена так: камеры подключены к мощному центральному серверу, который занимается обработкой изображения и архивацией; на постах охраны находятся клиентские машины, с которых происходит подключение к серверу, просмотр «живой» картинки и архивов — так охрана постоянно контролирует ситуацию. Если сервер сможет отслеживать действия охранников сам, это заметно упростит работу администратора.

Здесь пригодятся логи Xeoma. Один из них фиксирует всех пользователей, подключенных к серверу, его можно включить через Главное меню → Удалённый доступ → Пользователи → Использовать csv файл для записи действий пользователей. С этого момента в указанной директории на сервере будет храниться файл log.csv. CSV это формат таблицы, с которым может работать как человек (через табличные программы или обычный блокнот), так и программа. Выглядит таблица так:

Лог Xeoma

На первый взгляд, выглядит не очень информативно, значит, нужно научиться её читать.

  • СтолбецA: это уникальный идентификатор сессии, с его помощью легко различить, когда было подключение под одним и тем же пользователем с разных машин.
    Например: Строка2 и Строка3 показывают нам одного пользователя (оператор1), но идентификаторы отличаются (66836424 ≠ 66836584) – это разные люди, использующие пароль одного и того же пользователя на разных машинах. Если сопоставить эти данные с общим логом Xeoma (…/Xeoma/Logs/<ДАТА>.log), то можно узнать конкретные IP-адреса этих машин.
  • СтолбецB: имя пользователя Xeoma, присвоенное ему при создании.
  • СтолбецC: это название камеры, которую пользователь развернул на весь экран (вошёл в режим просмотра одной камеры): оно берётся из модуля «Универсальная камера», поле Имя источника.
  • СтолбецD: дата для СтолбцаC.
  • СтолбецE: время для СтолбцаC.
  • СтолбецF: дата сворачивания пользователем этой камеры (возврат в режим просмотра нескольких камер или иной выход из прежнего режима).
  • СтолбецG: время для СтолбцаF.
  • СтолбецH: это разница между СтолбцомE и СтолбцомG в миллисекундах; здесь показано точное время, которое потратил пользователь на просмотр конкретной камеры в полноэкранном режиме.
    Например: Строка7 и Строка8 показывают нам, что оператор1 просматривал камеру «Вход2» в течение 9173 мс (около 9 секунд).

Таким образом, малопонятный текст лога превращается в логическую цепочку, в блок данных, который можно расшифровать и проанализировать построчно. ПО для сбора статистики, например, вполне может использовать эту информацию для ежегодного анализа или советов по оптимизации. Существует множество практических применений этих логов, и мы рассмотрим пару из них.

Пример №1
Произошла нештатная ситуация: кто-то проник на охраняемый объект через один из входов, минуя охрану, и похитил нечто ценное. Во время появления нарушителя сигнал тревоги не подавался.

Не стоит терять контроль над ситуацией

Дежурный охранник, обеспечивавший контроль над этим конкретным входом, немедленно взят под стражу. Есть основания подозревать его в сговоре с похитителем – это объясняет, почему он не подал сигнал тревоги во время. Администратор открывает лог и проверяет записи, сделанные во время происшествия. Лог указывает, что в тот момент охранник просматривал несколько других камер по очереди. Из лога также видно, что такая процедура не была уникальной: он проделывал такой «виртуальный обход» каждый час, следуя инструкциям. Вероятность фальсификации лога исключена, т.к. хранится он на центральном сервере, к которому у охранника просто нет доступа. Получается, что нарушитель либо точно знал временной промежуток, в котором никто не контролировал нужный вход, либо остался незамеченным по счастливой случайности. Подозрения сняты.
Польза лога в данной ситуации проявилась в двух видах: во-первых, невиновный человек избежал наказания за преступление, которого не совершал; во-вторых, администрация системы охраны объекта обнаружила слабое место своей системы, которое можно закрыть, выстроив график «виртуальных обходов» для всех постов охраны так, чтобы в любой момент времени каждая камера находилась бы в поле зрения хотя бы одного охранника.

Пример №2
По данным сети охраняемого объекта, в течение дня было одно внешнее подключение.

Это лог тоже зафиксирует

Это даёт нам основания подозревать неавторизованное проникновение в сеть. Администратор проверяет лог за примерное время этого подключения. Идентификаторы сессий (СтолбецA) указывают, что один и тот же пользователь просматривал разные источники с разных машин в одно и то же время. Теперь администратор сверяется с общим логом (по времени), чтобы установить: оба подключения были из внутренней сети или нет? Одно из подключений локальное (это охранник), а вот второе внешнее – указатель на то, что посторонний получил удалённый доступ к серверу видеонаблюдения. С помощью общего лога администратор выявляет публичный IP нужной машины – он не совпадает с известными адресами внешних контролёров безопасности.
К этому моменту администратор уверен, что пароль доступа этого конкретного охранника разглашён третьим лицам (намеренно или по случайности – пока неясно). Поэтому первым шагом к исправлению ситуацию будет немедленная смена как минимум этого пароля. В дальнейшем к системе можно добавить дополнительный уровень защиты, используя сертификаты безопасности (SSL) и задав серверу принимать только защищённые соединения (для этого есть команда -sslconnection 1). Если сами сертификаты недоступны никому кроме администратора (например, хранятся в директории с ограниченными правами), то только авторизованные машины смогут подключаться к серверу удалённо.

Информация из логов значительно упрощает контроль над работой системы безопасности, когда администратор знает, как эту информацию извлечь.

6 июня 2018

Читайте также:
Видеонаблюдение в борьбе с терроризмом: предотвращение терактов
Запуск Xeoma в автоматическом режиме на нескольких экранах