类别 | 说明 | 示例 | 类别键和消息键 | ||
---|---|---|---|---|---|
ANALYTICS | 与分析实体相关的操作。ThingWorx Analytics 执行的操作。 | “数据分析定义”的创建、编辑、删除操作。 ThingWorx Analytics 中的其他操作。 | 类别键:audit.AuditCategory.Analytics | ||
AUDIT | 供内部审计子系统使用。 | 默认情况下处于启用状态。 启用对审计服务执行的追踪,因为其中可能包含敏感数据。审计消息将返回执行该服务的 USERNAME。默认情况下,审计的服务如下所示: • ArchiveAuditHistory • ArchiveAuditHistoryDirectPersistence • PurgeAuditData • ExportAuditData • ExportOnlineAuditData • CleanUpOfflineAudit 默认情况下,不会审计以下服务: • QueryAuditHistory • QueryAuditHistoryWithQueryCriteria • QueryAuditHistoryContextConstrained • GetAuditEntryCount | 类别键:audit.AuditCategory.Audit 消息键: • audit.Audit.ExecutedService.ArchiveAuditHistory • audit.Audit.ExecutedService.ArchiveAuditHistoryDirectPersistence • audit.Audit.ExecutedService.PurgeAuditData • audit.Audit.ExecutedService.ExportAuditData • audit.Audit.ExecutedService.ExportOnlineAuditData • audit.Audit.ExecutedService.CleanUpOfflineAudit • audit.Audit.ExecutedService.Query AuditHistory • audit.Audit.ExecutedService.GetAuditEntryCount | ||
AUTHENTICATION | 与身份验证相关的操作。 | • 成功和失败的用户登录、用户退出登录、与使用“应用程序密钥”相关的错误。例如:Login successful for user: Administrator。 • Logout 条目用于追踪用户退出登录操作。此条目是用户最初退出登录 ThingWorx Composer 时生成的。此用户名将包括在审计消息中。 • LoginSucceeded 条目用于追踪成功的用户登录操作。此用户名将包括在审计消息中。 • LoginFailed 条目用于追踪失败的用户登录操作。此用户名将包括在审计消息中。 • ApplicationKeySucceeded 条目用于追踪使用应用程序密钥进行的成功验证。此用户名将包括在审计消息中。 • ApplicationKeyFailed 条目用于追踪使用应用程序密钥进行的失败验证。此用户名将包括在审计消息中。 | 类别键:audit.AuditCategory.Authentication 消息键 • com.thingworx.things.security.SecurityMonitorThing.Logout.Audit • com.thingworx.things.security.SecurityMonitorThing.LoginSucceeded.Audit • com.thingworx.things.security.SecurityMonitorThing.LoginFailed.Audit • com.thingworx.things.security.SecurityMonitorThing.ApplicationKeySucceeded.Audit • com.thingworx.things.security.SecurityMonitorThing.ApplicationKeyFailed.Audit | ||
COLLABORATION | 与“协作”实体相关的操作。 | 博客和 Wiki 的创建、编辑和删除操作。 | 类别键:audit.AuditCategory.Collaboration | ||
DATA_MANAGEMENT | 与管理或使用数据相关的操作。 | 数据的删除操作。 | 类别键:audit.AuditCategory.DataManagement | ||
DATA_STORAGE | “数据存储”实体及相关子系统的相关操作。 | 数据表、流和其他数据存储实体的创建、编辑和删除操作。 | 类别键:audit.AuditCategory.DataStorage | ||
DEVICE_COMMUNICATION | 与 Edge 设备通信相关的操作。 | 将审计 WSCommunicationSubsystem 的 CloseWebSocketSessions 服务。有关此服务的详细信息,请参阅主题“WebSocketCommunications 子系统”的“服务”部分。
| 类别键:audit.AuditCategory.DeviceCommunication | ||
FILE_TRANSFER | 与文件上载和下载相关的操作和事件。 | 针对文件传输:成功完成传输、取消传输以及在传输过程中生成错误。 | 类别键:audit.AuditCategory.FileTransfer | ||
IMPORT_EXPORT | 与在 ThingWorx 中执行的数据导入和导出相关的操作。 | 模型和数据导入/导出操作。 扩展的导入。 | 类别键:audit.AuditCategory.ImportExport | ||
LIFECYCLE | 与事物特定事件相关的操作,例如 ThingEnable | 在事物上调用相应的服务时,会生成诸如 ThingEnable 和 ThingDisable 等事件。默认情况下会禁用 ThingStart 事件的审计,因为加载将在 ThingWorx Platform 启动和重新启动期间进行。 | 类别键:audit.AuditCategory.Lifecycle 消息键: • com.thingworx.things.Thing.ThingStart.Audit • audit.EntityLifecycle.Enable • audit.EntityLifecycle.Disable | ||
与所有实体 (包括事物组) 相关的创建和删除操作 | 审计的操作和消息如下所示: • 用户 X 新建事物组 Y - 审计消息为“已创建 type "name"”。 • 用户 X 删除事物组 Y - 审计消息为“已删除 type "name"”。 • 用户 X 删除事物组 Y 的所有子成员 - 审计消息为“已删除 typename 的所有子成员”。 | 类别键:audit.LifeCycle 消息键: • audit.LifeCycle.Created • audit.LifeCycle.Deleted • audit.LifeCycle.DeletedAll | |||
THINGGROUPMEMBERSHIPS | 与事物组成员资格相关的添加操作 | 审计的操作和审计消息如下所示: • 用户 X 添加事物 123 作为事物组 Y 的子成员 - 审计消息为“已添加事物 thingName 作为事物组 thingGroupName 的子成员” • 用户 X 添加事物组 ABC 作为事物组 Y 的子成员 - 审计消息为“已添加事物组 thingGroupName1 作为事物组 thingGroupName2 的子成员” | 类别键:audit.ThingGroupMemberships 消息键: • com.thingworx.thinggroups.ThingGroup.AddedThingAsChildMember • com.thingworx.thinggroups.ThingGroup.AddedThingGroupAsChildMember | ||
与事物组成员资格相关的删除操作 | 审计的操作和审计消息如下所示: • 用户 X 删除作为事物组 Y 子成员的事物 123 - 审计消息为“已将事物 thingName 从事物组 thingGroupName 子成员中删除” • 用户 X 删除作为事物组 Y 子成员的事物组 ABC - 审计消息为“已将事物组 thingGroupName1 从事物组 thingGroupName2 的子成员中删除” • 用户 X 删除事物组 Y 的所有子成员 (事物和/或事物组) - 审计消息为“已删除事物组 thingGroupName 的所有子成员” | 类别键:audit.ThingGroupMemberships 消息键: • com.thingworx.thinggroups.ThingGroup.DeletedThingAsChildMember • com.thingworx.thinggroups.ThingGroup.DeletedThingGroupAsChildMember • com.thingworx.thinggroups.ThingGroup.DeletedAllChildMembers | |||
MODELING | 与“建模”实体相关的操作。创建实体时,系统会生成一条审计消息,其中包含分配给新实体的所有者。请注意,实体的所有者会被自动设置为创建该实体的用户名。 无论使用何种方法创建实体,系统都会生成审计消息: • 在 Composer 中通过调用 PUT • 通过调用 Create API、Clone API 或 SetOwner API 任何有权查看审计子系统的用户都可以查看有关所有权更改的报告。 | 有关事物、事物模板、事物形态、数据形状、网络、项目、模型和标记的创建、编辑、删除操作。 审计消息的格式为: "Created <Source Type> <Source> with owner <username of owner>." 其中: • Source Type 为所创建实体的类型。例如,事物。 • Source 为新实体的名称。 • owner 显示了执行创建操作的用户的 username。 | 类别键:audit.AuditCategory.Modeling 消息键为:audit.EntityLifecycle.Create。 | ||
REMOTE_ACCESS | 与远程访问 (隧道) 相关的操作。 | • 用户会话开始 - 审计消息包括会话的用户 ID 和开始时间。 • 用户会话结束 - 审计消息包括会话的用户 ID、结束时间和总时间。 | 类别键:audit.AuditCategory.RemoteAccess | ||
SCM (软件内容管理) | 与包、部署和配置更改相关的操作。 | 创建、编辑、发布和删除包。创建、开始、转变和删除部署。包括测试和实际部署、为测试部署指定的资产以及包安装的成功或失败。用于自动清除和并发部署的配置更改。 当用户直接启动部署时,包部署信息将包括用户 ID。当部署由平台启动时,SYSTEM 将作为部署包的实体列出。 | 类别键:audit.AuditCategory.SoftwareManagement | ||
SECURITY_CONFIGURATION | 与安全实体和权限相关的操作,包括用户、用户组、事物组、组织、应用程序密钥、目录服务和身份验证器。 每当实体的所有权发生更改时,都会生成审计消息。可通过 Composer、API 调用或导入实体 XML 文件来更改所有者 以下情况不会生成所有权审计消息: • 审计子系统已禁用。 • 实体已在未更改所有权的情况下更新。 • SetOwner API 调用设置的所有者与实体的所有者相同。 | 有关用户、用户组、事物组、组织、应用程序密钥、目录服务、身份验证器的创建、编辑和删除操作。 启用对用户组更改的跟踪。只要将用户或用户组添加为另一个用户组的成员,就会生成 audit.Groups.Added 条目。只要将用户或用户组从用户组中移除,就会生成 audit.Groups.Removed 实体。 实体权限更改 (所有实体类型)。请参阅上述部分,审计安全上下文的切换。 所有权更改审计消息的常规格式如下: "Owner for <Source Type> <Source> changed from <original owner username> to <new owner username>." 其中: • Source Type 是所有者已更改的实体的类型。例如,事物。 • Source 是所有者已更改的实体的名称。 • original owner username 显示了执行更改操作的用户的 username。 • new owner username 是新所有者的 username。 | 类别键:audit.AuditCategory.SecurityConfiguration 消息键: • audit.Groups.Added • audit.Groups.Removed • audit.entity.ownership.change | ||
管理员启用和禁用用户管理子系统中的事物组可见性权限委派 | 审计的操作和审计消息如下所示: • 管理员启用用户管理子系统中的事物组可见性权限委派 - 审计消息为“事物组可见性权限委派已启用。” • 管理员禁用用户管理子系统中的事物组可见性权限委派 - 审计消息为“事物组可见性权限委派已禁用。” | 类别键:audit.AuditCategory.SecurityConfiguration 消息键: • com.thingworx.thinggroups.ThingGroup.VisibilityPermissionDelegationEnabled • com.thingworx.thinggroups.ThingGroup.VisibilityPermissionDelegationDisabled | |||
SYSTEM | 与系统实体相关的操作。 | 有关本地化表、资源、子系统和日志的创建、编辑和删除操作。 子系统配置更改和操作,包括启动、停止和重新启动。子系统相关的所有条目归为此类别,且不会出现在其他任何类别中。
| 类别键:audit.AuditCategory.System | ||
VISUALIZATION | 与“可视化”实体相关的操作。 | 有关混搭、主数据、小工具、仪表板、菜单、媒体实体、样式定义和状态定义的创建、编辑和删除操作。 | 类别键:audit.AuditCategory.Visualization |
审计类别 | 审计消息密钥 |
---|---|
AUDIT | • audit.Audit.ExecutedService.QueryAuditHistory • audit.Audit.ExecutedService.QueryAuditHistoryWithQueryCriteria • QueryAuditHistoryContextConstrained • audit.Audit.ExecutedService.GetAuditEntryCount |
THINGGROUPMEMBERSHIPS | • com.thingworx.thinggroups.ThingGroup.AddedThingAsChildMember • com.thingworx.thinggroups.ThingGroup.DeletedThingAsChildMember • com.thingworx.thinggroups.ThingGroup.AddedThingGroupAsChildMember • com.thingworx.thinggroups.ThingGroup.DeletedThingGroupAsChildMember • com.thingworx.thinggroups.ThingGroup.DeletededAllChildMembers |
LIFECYCLE | audit.Lifecycle.ThingStart |
不能启用或禁用 LIFECYCLE 类别中的单个事件。必须使用符号 "MessageKeys" : ["ALL"] 来启用或禁用所有这些对象。 |
对审计类别和事件消息的 platform-settings.json 文件进行更改后,您需要重新启动 ThingWorx Platform 实例。最好不要经常进行此类更改。 |
Audit 部分必须作为 PlatformSettingsConfig 的 JSON 条目的同级节点添加。它可以位于 PlatformSettingsConfig 节点之前或之后,但必须处于相同的节点级别。 |