Сомнения по данному методу: 1. Он возвращает ВСЕ события не зависимо от типа и даты события. 2. Даже если фильтровать записи по типу и дате и вешать на агента с периодичностью 1 минута - есть подозрения, что это не кашерный способ реализации.
Администратор должен узнавать о попытке вторжения сразу.
Александр Ким написал: 1. Он возвращает ВСЕ события не зависимо от типа и даты события.
В фильтре можно передать следующие ключи: TIMESTAMP_X_1 - с какого момента брать TIMESTAMP_X_2 - по какой момент брать
+ AUDIT_TYPE_ID, SEVERITY, ITEM_ID
Цитата
Александр Ким написал: 2. Даже если фильтровать записи по типу и дате и вешать на агента с периодичностью 1 минута - есть подозрения, что это не кашерный способ реализации.
Зато жизнеспособный. Давайте представим, что на сайт сканят на предмет уязвимостей и в логе создаются 30 сообщений. Все 30 нужно отправить отдельным письмом? Если сайт популярный, то Ваш админ будет в ярости от шквала писем, а клиент просто порвет Вас.
Для Веб-антивируса оказывается есть собственное почтовое событие и в настройках Веб-антивируса можно поставить параметр - отправлять администратору оповещение о вирусе. К тому же в Журнале вторжений событий для Веб-антивируса создаются без даты события, их нельзя отфильтровать.
Получается остаются следующие события без почтового уведомления: SECURITY_FILTER_PHP, SECURITY_FILTER_SQL, SECURITY_FILTER_XSS, SECURITY_FILTER_XSS2, SECURITY_FILTER_REDIRECT.
Но в методе CEventLog::GetList в фильтре я не могу указать сразу массив типов событий? Или могу?