Admin ConsoleRapportering

Händelseloggar

Händelseloggar är tidsstämplade poster över händelser som inträffar inom din Teams- eller Enterprise-organisation. För att komma åt händelseloggar:

  1. Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:

    Product switcher
    Product switcher
  2. Välj RapporteringHändelseloggar från navigeringen:

    Event logs
    Event logs

Händelseloggar är exportbara, tillgängliga från /events-slutpunkten för Bitwarden Public API, och bevaras på obestämd tid, men endast 367 dagars data kan ses åt gången (enligt intervallväljarna).

Händelser fångas på både Bitwarden-klienten och servern, med de flesta händelser som inträffar på klienten. Medan serverhändelsefångst sker omedelbart och snabbt bearbetas, skickar klienter händelsedata till servern var 60:e sekund, så att du kan observera små förseningar i rapporteringen av senaste händelser. Dessutom kommuniceras data från klienthändelser via ett API-anrop, och detta görs om tills det lyckas. Som ett resultat, om klienten inte kan kommunicera med API:t eller på något sätt modifieras för att inte skicka händelser kommer de inte att tas emot och därför behandlas.

Inspektera händelser

I vyn Händelseloggar i webbappen kommer att välja en rosa resursidentifierare (t.ex. 1e685004) göra två saker:

  1. Öppna en dialogruta med en lista över händelser som är kopplade till den resursen. Om du till exempel väljer ett objekts identifierare öppnas en lista över gånger objektet har redigerats, setts etc., inklusive vilken medlem som utförde varje åtgärd.

  2. Navigera till en vy där du kommer åt resursen. Om du till exempel väljer en medlems identifierare från händelseloggarna kommer du till medlemsvyn och automatiskt filtrera ned listan till den medlemmen.

Händelselista

Händelseloggar registrerar över 60 olika typer av händelser. Händelseloggarnas skärm fångar en tidsstämpel för händelsen, klientappinformation inklusive applikationstyp och IP (nås genom att sväva över jordklotikonen), användaren som är ansluten till händelsen och en händelsebeskrivning.

note

Each Event is associated with a type code (1000, 1001, etc.) that identifies the action captured by the event. Type codes are used by the Bitwarden Public API to identify the action documented by an event.

Alla händelsetyper listas nedan, med motsvarande typkoder:

Användarhändelser

  • Inloggad. (1000)

  • Ändrat kontolösenord. (1001)

  • Aktiverad/uppdaterad tvåstegsinloggning. (1002)

  • Inaktiverad tvåstegsinloggning. (1003)

  • Återställt konto från tvåstegsinloggning. (1004)

  • Inloggningsförsök misslyckades med felaktigt lösenord. (1005)

  • Inloggningsförsök misslyckades med felaktig tvåstegsinloggning. (1006)

  • Användaren exporterade sina individuella valvobjekt. (1007)

  • Användaren uppdaterade ett lösenord som utfärdats genom kontoåterställning. (1008)

  • Användaren migrerade sin dekrypteringsnyckel med Key Connector. (1009)

  • Användaren begärde enhetsgodkännande. (1010)

Objekthändelser

  • Skapad artikel-identifierare. (1100)

  • Redigerad artikelobjektidentifierare. (1101)

  • Permanent raderad artikelobjektidentifierare. (1102)

  • Skapat bilaga för artikelobjektidentifierare. (1103)

  • Raderad bilaga för artikelartikelidentifierare. (1104)

  • Flyttade objektobjektidentifierare till en organisation. (1105)

  • Redigerade samlingar för objekt-identifierare (1106)

  • Visat objekt objektidentifierare. (1107)

  • Visat lösenord för objektidentifierare. (1108)

  • Visade dolt fält för artikelartikelidentifierare. (1109)

  • Visade säkerhetskoden för artikelobjektidentifierare. (1110)

  • Kopierat lösenord för artikelobjektidentifierare. (1111)

  • Kopierat dolt fält för artikelartikelidentifierare. (1112)

  • Kopierad säkerhetskod för artikelartikelidentifierare. (1113)

  • Autofylld artikelartikelidentifierare. (1114)

  • Skickade objekt-identifierare till papperskorgen. (1115)

  • Återställd artikelobjektidentifierare. (1116)

  • Visat kortnummer för objektidentifierare. (1117)

Insamlingsevenemang

  • Skapat samling samling-identifierare. (1300)

  • Redigerad samling samlingsidentifierare. (1301)

  • Raderad samling samling-identifierare. (1302)

Grupphändelser

  • Skapade gruppidentifierare. (1400)

  • Redigerad gruppgruppidentifierare. (1401)

  • Raderad gruppgruppidentifierare. (1402)

Organisationsevenemang

  • Användaridentifierare för inbjuden användare. (1500)

  • Bekräftad användaridentifierare. (1501)

  • Redigerad användaridentifierare. (1502)

  • Användaridentifierare har tagits bort. (1503)

  • Redigerade grupper för användaridentifierare. (1504)

  • Olänkad SSO för användaridentifierare. (1505)

  • användaridentifierare registrerad för kontoåterställning. (1506)

  • användaridentifierare togs bort från kontoåterställning. (1507)

  • Huvudlösenord återställs för användaridentifierare. (1508)

  • Återställ SSO-länk för användaridentifierare. (1509)

  • användaridentifierare loggade in med SSO för första gången. (1510)

  • Återkallad organisationsåtkomst för användaridentifierare (1511)

  • Återställer organisationsåtkomst för användaridentifierare (1512)

  • Godkänd enhet för användaridentifierare. (1513)

  • Nekad enhet för användaridentifierare. (1514)

  • Raderad användaridentifierare - en ägare/administratör tog bort användarkontot. (1515)

  • Användaranvändar-ID lämnade organisationen. (1516)

  • Redigerade organisationsinställningar. (1600)

  • Rensat organisationsvalv. (1601)

  • Exporterat organisationsvalv. (1602)

  • Organisationsvalv-åtkomst av en hanterande leverantör. (1603)

  • Organisationen har aktiverat SSO. (1604)

  • Organisationen har inaktiverat SSO. (1605)

  • Organisationsaktiverad Key Connector. (1606)

  • Organisationen har inaktiverat Key Connector. (1607)

  • Familjesponsring synkroniserad. (1608)

  • Ändrad inställning för samlingshantering. (1609)

  • Modifierad policy-identifierare. (1700)

  • Lade till domän domännamn. (2000)

  • Borttagen domän domännamn. (2001)

  • Domännamn verifierat. (2002)

  • Domännamn inte verifierat. (2003)

Secrets Manager-evenemang

Secrets Manager-händelser är tillgängliga både från fliken Rapportering i ditt organisationsvalv och från sidan för tjänstekontots händelseloggar. Följande Secrets Manager-händelser fångas:

  • Åtkomst till hemlig hemlig identifierare. (2100)

Leverantörsevenemang

När någon av ovanstående händelser utförs av en medlem av en administrerande leverantör, kommer användarkolumnen att registrera namnet på leverantören. Dessutom kommer en leverantörsspecifik händelse att registrera när en medlem av en administrerande leverantör kommer åt ditt organisationsvalv:

Provider accessing events
Provider accessing events

Exportera händelser

Om du exporterar händelseloggar skapas en .csv för alla händelser inom det angivna datumintervallet:

Export Event Logs
Export Event Logs

Till exempel:

Bash
message,appIcon,appName,userId,userName,userEmail,date,ip,type Logged in.,fa-globe,Web Vault - Chrome,1234abcd-56de-78ef-91gh-abcdef123456,Alice,alice@bitwarden.com,2021-06-14T14:22:23.331751Z,111.11.111.111,User_LoggedIn Invited user zyxw9876.,fa-globe,Unknown,1234abcd-56de-78ef-91gh-abcdef123456,Alice,alice@bitwarden.com,2021-06-14T14:14:44.7566667Z,111.11.111.111,OrganizationUser_Invited Edited organization settings.,fa-globe,Web Vault - Chrome,9876dcba-65ed-87fe-19hg-654321fedcba,Bob,bob@bitwarden.com,2021-06-07T17:57:08.1866667Z,222.22.222.222,Organization_Updated

API-svar

Åtkomst av händelseloggar från /events-slutpunkten för Bitwarden Public API returnerar ett JSON-svar som följande:

Bash
{ "object": "list", "data": [ { "object": "event", "type": 1000, "itemId": "string", "collectionId": "string", "groupId": "string", "policyId": "string", "memberId": "string", "actingUserId": "string", "date": "2020-11-04T15:01:21.698Z", "device": 0, "ipAddress": "xxx.xx.xxx.x" } ], "continuationToken": "string" }

SIEM och externa systemintegrationer

Vid export av data från Bitwarden till andra system kan en kombination av data från exporten, API och CLI användas för att samla in data. Använd till exempel Bitwarden RESTful API:er för att samla in data kring organisationens struktur:

  • GET /public/members returnerar medlemmarna, id:n och tilldelade groupids

  • GET /public/groups returnerar alla grupper, id, tilldelade samlingar och deras behörigheter

  • GET /public/collections returnerar alla samlingar och deras tilldelade grupper

När du har det unika ID:t för varje medlem, grupp och samling kan du nu använda CLI-verktyget för att samla information med hjälp av CLI-kommandot bw-list för att hämta följande objekt i JSON-format:

  • Organisationsmedlemmar

  • Föremål

  • Samlingar

  • Grupper

Efter att ha samlat in dessa data kan du gå med i rader på deras unika ID för att bygga en referens till alla delar av din Bitwarden-organisation. För mer information om hur du använder Bitwarden CLI, se Bitwardens kommandoradsverktyg (CLI).