Общее описание

Протокол CEF

Syslog - протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях.

CEF - Common Event Format, текстовый формат, разработанные для поддержки различных типов устройств, предоставляющий актуальную информацию. Чистый протокол CEF не содержит поля CEF_SYSLOG_TIMESTAMP и CEF_SYSLOG_HOST. Для возможности отправлять события в Syslog и для обогащения событий дополнительной информацией, поле время отправки события и хост отправляющий события добавлены в шаблон и он имеет вид:

События можно разделить на три больших блока:

SYSTEM - системные события, изменение конфигурации сущностей NAICE является системным событием. Например, изменение параметров NAS, создание нового пользователя, удаление политики и т.д.
RADIUS - события аутентификации по протоколу Radius. Например, успешное прохождение аутентификации, отказ в аутентификации пользователя и т.д.
TACACS - события аутентификаци, авторизации, аккаунтинга по протоколу Tacacs. К ним относятся аутентификация администратора на устростве, проверка разрешения на выполнение команд, отправка аккаунтинга и т.д.

Примеры, список всех событий может быть получен из справочного CSV файла all_events_export.csv раздела attachments.

События могут публиковаться как на английском на и русском языке в зависимости от выбранной пользователем локали NAICE.

Поля CEF формата

Имя	Описание	Значение/пример значения
CEF_SYSLOG_TIMESTAMP	Время отправки события в формате `Mmm dd hh:mm:ss`	Jan 18 11:07:53
CEF_SYSLOG_HOST	Хост отправляющий событие	red-os-176
CEF Version	Версия формата CEF, которую мы используем.	Констатное значение - 1.
Device Vendor	Производитель устройства/ПО	Констатное значение - Eltex
Device Product	Название продукта, сгенерировавшего событие.	Константное значение - NAICE
Device Version	Версия продукта.	1.0.0
Device Event Class ID	Уникальный числовой идентификатор типа события.	Диапазон от 0 - 65536
Name	Имя события	LICENSE_ACTIVATION
Severity	Важность события в числовом формате. 0-3 = Low (Низкая) 4-6 = Medium (Средняя) 7-8 = High (Высокая) 9-10 = Very High (Очень высокая)	10
src	Source IP: IP-адрес источника, с которого инициировано событие. Для событий типа SYSTEM - указывается IP адрес администратора, с машины которого было сделано изменение. Для RADIUS событий - значение адреса NAS. Для TACACS событий - компьютер администратора, производящего настроку оборудования по протоколу TACACS.	127.0.0.1
suser	Source User: Имя пользователя, связанного с источником события. Для SYSTEM - логин администратора, совершившего действие. Для RADIUS - логин пользователя, проходящего аутентификацию. Для TACACS - логин администратора, конфигурирующего оборудование.	test-user
msg	Message: Оригинальное, произвольное текстовое описание события. Подробное описание событий приведено в таблице ниже.	The license NAICE-LICENSE-1 successfully activated
dst	Destination IP: IP адрес узла NAICE, на котором была обработана отправка этого события	172.20.0.1
dpt	Destination Port: Порт назначения.	SYSTEM: 443 RADIUS: 1812 TACACS: 49
proto	Протокол, к которому относится сгенерирование событие	SYSTEM: HTTPS RADIUS: RADIUS TACACS: TACACS
event_log_level	Уровень события в текстовом виде	DEBUG, INFO, WARNING, ERROR
start	Start Time: Время начала события (в миллисекундах с эпохи Unix).	1760943998573
Extenstion - Дополнительные поля в формате key/value	Дополнительные поля содержат параметры для заполнения шаблона сообщения, для протоколов Radius и Tacacs содержаться значимые поля события. (логин пользователя, значимые параметры протокола)	productId=NAICE-LICENSE-1 fileType=license file

Описание событий

SYSTEM

Лицензирование

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
LICENSE_ACTIVATION	1	Активация лицензии - результат успешного общения с ELM или локальная проверка ELM	INFO	Сервис лицензирования	The license ${productId} successfully activated.	`productId` - уникальный идентификатор продукта.	Oct 20 14:06:38 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|1\|LICENSE_ACTIVATION\|10\|src=172.16.0.2 suser=test-user-1 msg=The license NAICE-LICENSE-1 successfully activated. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1760943998573 productId=NAICE-LICENSE-1 suser=test-user
LICENSE_ACTIVATION_ERROR	2	Ошибка активации лицензии	ERROR	Сервис лицензирования	Error while activate license ${productId}: ${error}.	`productId` - уникальный идентификатор продукта. `error` - описание ошибки, при активации лицензии.	Oct 20 14:06:38 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|2\|LICENSE_ACTIVATION_ERROR\|10\|src=172.16.0.2 suser=test-user-1 msg=Error while activate license NAICE-LICENSE-1: License validation failed: Invalid signature. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1760943998574 productId=NAICE-LICENSE-1 suser=test-user error=License validation failed: Invalid signature
LICENSE_UPLOAD_LICENSE_FILE	3	Загрузка файла лицензии	INFO	Пользователь / UI	The ${fileType} for ${productId} on ${hostname} successfully uploaded.	fileType - тип файла лицензии `productId` - уникальный идентификатор продукта hostname - имя хоста, с которого был загружен файл лицензии.	Oct 20 14:06:38 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|3\|LICENSE_UPLOAD_LICENSE_FILE\|10\|src=172.16.0.2 suser=test-user-1 msg=The license file for NAICE-LICENSE-1 on naice-production-server successfully uploaded. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1760943998575 hostname=naice-production-server productId=NAICE-LICENSE-1 suser=test-user fileType=license file
LICENSE_DEMO_MODE	4	Переход в демо режим	WARNING	Сервис лицензирования	Service ${service} is running in demo mode.	service - имя сервиса, который перешел в демо режим.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|4\|LICENSE_DEMO_MODE\|10\|src=172.16.0.2 suser=test-user-1 msg=Service naice-service is running in demo mode. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=WARNING start=1762316583792 service=naice-service
LICENSE_APPLIED	5	Лицензия успешно применена (в сервисах, предоставляющих услугу — Ovis, Aquila)	DEBUG	Сервис авторизации по протоколу Radius/ Сервис авторизации по протоколу Tacacs	The license ${productId} applied at ${service}. Features: ${params}.	`productId` - уникальный идентификатор продукта params - список параметров влияющих на лицензирование продукта, например, признак наличия Tacacs.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|5\|LICENSE_APPLIED\|10\|src=172.16.0.2 suser=test-user-1 msg=The license NAICE-LICENSE-1 applied at naice-service. Features: TACACS\=true dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=DEBUG start=1762316583793 productId=NAICE-LICENSE-1 suser=test-user params=TACACS\=true
FUNCTIONALITY_IS_LIMITED	6	Ограничение доступа к функционалу (по разным причинам)	WARNING	Сервис авторизации по протоколу Radius/ Сервис авторизации по протоколу Tacacs	The functionality is limited at ${service}.	service - имя сервиса, функционал которого стал ограничен.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|6\|FUNCTIONALITY_IS_LIMITED\|10\|src=172.16.0.2 suser=test-user-1 msg=The functionality is limited at naice-ovis. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=WARNING start=1762316583793 suser=test-user service=naice-ovis timestamp=1762316583793
LICENSE_REMOVED	8	Лицензия удалена	INFO	Пользователь / UI	The license ${productId} has been deleted.	`productId` - уникальный идентификатор продукта.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|8\|LICENSE_REMOVED\|10\|src=172.16.0.2 suser=test-user-1 msg=The license NAICE-LICENSE-1 has been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583793 productId=NAICE-LICENSE-1 suser=test-user
LICENSE_UPGRADE_STATUS	9	Лицензия переведена в статус (init - ready, вручную - backup и т.п.)	DEBUG	Сервис лицензирования	The license with ${productId} has been upgraded to the status ${status}	`productId` - уникальный идентификатор продукта. status - текущий статус лицензии, возможные значения: INIT, READY, ACTIVE, INVALID, MISMATCH, LOST, EXPIRED, BACKUP	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|9\|LICENSE_UPGRADE_STATUS\|10\|src=172.16.0.2 suser=test-user-1 msg=The license with NAICE-LICENSE-1 has been upgraded to the status ACTIVE dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=DEBUG start=1762316583794 productId=NAICE-LICENSE-1 suser=test-user status=ACTIVE
LICENSE_ACTIVATION_FILE_CREATED	10	Файл активации сформирован (после обращения к EPG-сервису)	INFO	Сервис лицензирования	Activation file successfully created with ${productId}.	`productId` - уникальный идентификатор продукта.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|10\|LICENSE_ACTIVATION_FILE_CREATED\|10\|src=172.16.0.2 suser=test-user-1 msg=Activation file successfully created with NAICE-LICENSE-1. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583794 productId=NAICE-LICENSE-1 suser=test-user service=naice-service
LICENSE_ACTIVATION_FILE_ERROR	11	Ошибка активации файла лицензии	ERROR	Сервис лицензирования	Activation file creation error for ${productId}: ${error}.	`productId` - уникальный идентификатор продукта. error - описание ошибки	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|11\|LICENSE_ACTIVATION_FILE_ERROR\|10\|src=172.16.0.2 suser=test-user-1 msg=Activation file creation error for NAICE-LICENSE-1: License validation failed: Invalid signature. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583794 productId=NAICE-LICENSE-1 suser=test-user error=License validation failed: Invalid signature
LICENSE_PK_FILE_ALREADY_EXISTS	12	PK-файл уже существует	ERROR	Сервис хранения данных	PK file for ${hostname} already exists.	hostname - имя хоста, с которого была попытка загрузки файла лицензии.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|12\|LICENSE_PK_FILE_ALREADY_EXISTS\|8\|src=172.16.0.2 suser=test-user-1 msg=PK file for naice-production-server already exists. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583795 hostname=naice-production-server suser=test-user
LICENSE_UPLOAD_FILE_ERROR	13	Ошибка загрузки файла лицензии	ERROR	Сервис лицензирования	Failed to upload ${fileType} for ${productId} on ${hostname}.	fileType - тип файла лицензии `productId` - уникальный идентификатор продукта hostname - имя хоста, с которого был загружен файл лицензии.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|13\|LICENSE_UPLOAD_FILE_ERROR\|10\|src=172.16.0.2 suser=test-user-1 msg=Failed to upload license file for NAICE-LICENSE-1 on naice-production-server. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583795 hostname=naice-production-server productId=NAICE-LICENSE-1 suser=test-user service=naice-service fileType=license file
LICENSE_ACTIVATION_CMD	14	Запущена активация лицензии	INFO	Сервис обработки пользовательских запросов	Activates license ${productId}.	`productId` - уникальный идентификатор продукта	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|14\|LICENSE_ACTIVATION_CMD\|10\|src=172.16.0.2 suser=test-user-1 msg=Activates license NAICE-LICENSE-1. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583795 productId=NAICE-LICENSE-1 suser=test-user
LICENSE_ACTIVATION_FILE_CREATE_CMD	15	Создание файла активации лицензии	INFO	Сервис обработки пользовательских запросов	Creates an activation file for license ${productId}.	`productId` - уникальный идентификатор продукта	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|15\|LICENSE_ACTIVATION_FILE_CREATE_CMD\|10\|src=172.16.0.2 suser=test-user-1 msg=Creates an activation file for license NAICE-LICENSE-1. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583796 productId=NAICE-LICENSE-1 suser=test-user
LICENSE_DROP_REASON	19	Произошёл сброс лицензии и передана причина сброса.	ERROR	Сервис лицензирования	License will be dropped. ${dropReason}	dropReason - описание причины сброса лицензии	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|19\|LICENSE_DROP_REASON\|10\|src=172.16.0.2 suser=test-user-1 msg=License will be dropped. License expired on 2024-12-31 dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583797 dropReason=License expired on 2024-12-31 suser=test-user service=naice-service
LICENSE_DEMO_LIMIT_REACHED_GUEST_ENDPOINT	20	Превышен лимит гостевых эндпоинтов в демо-режиме	WARNING	Сервис лицензирования	Demo limit of '${limit}' guest endpoints exceeded.	limit - количество доступных подключений портальной авторизации в демо-режиме	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|20\|LICENSE_DEMO_LIMIT_REACHED_GUEST_ENDPOINT\|8\|src=172.16.0.2 suser=test-user-1 msg=Demo limit of '100' guest endpoints exceeded. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=WARNING start=1762316583797 suser=test-user service=naice-service limit=100

Портал

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
AUTHENTICATION_SERVICE_UNAVAILABLE	16	Сервис портала недоступен.	ERROR	Сервис портальной авторизации	Authentication service ${service} is not available.	service - имя сервиса аутентификации, который стал не доступен (например имя источника MS AD/LDAP)	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|16\|AUTHENTICATION_SERVICE_UNAVAILABLE\|8\|src=172.16.0.2 suser=test-user-1 msg=Authentication service LDAP Authentication Service is not available. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583796 suser=test-user service=LDAP Authentication Service
SMS_DEMO_HAS_BEEN_SENT	17	Получено СМС от демо-шлюза.	INFO	Сервис взаимодейсвтия шлюзов	Receive demo sms: ${smsMessage}	smsMessage - текст сообщения	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|17\|SMS_DEMO_HAS_BEEN_SENT\|3\|src=172.16.0.2 suser=test-user-1 msg=Receive demo sms: Your verification code is: 123456 dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583797 suser=test-user smsMessage=Your verification code is: 123456 service=naice-service
PORTAL_SEND_SMS_ERROR	18	Произошла ошибка при отправке СМС при портальной авторизации.	ERROR	Сервис портальной авторизации	Error while sending sms to phone number '${phoneNumber}' on portal '${portalName}': ${error}.	phoneNumber - номер телефона portalName - имя портала error - описание ошибки	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|18\|PORTAL_SEND_SMS_ERROR\|6\|src=172.16.0.2 suser=test-user-1 msg=Error while sending sms to phone number '+79001234567' on portal 'Portal-1': SMS gateway timeout. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=ERROR start=1762316583797 phoneNumber=+79001234567 portalName=Portal-1 suser=test-user service=naice-service error=SMS gateway timeout
CREATE_PORTAL_USER	42	Создан портальный пользователь.	INFO	Пользователь / UI	Portal user `<portalUserName>` was created.	`portalUserName` - логин созданного пользователя	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|42\|CREATE_PORTAL_USER\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal user 'GuestUser-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583803 portalUserName=GuestUser-1
UPDATE_PORTAL_USER	43	Изменен портальный пользователь.	INFO	Пользователь / UI	Portal user '${portalUserName}' has been edited.	`portalUserName` - логин измененного пользователя	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|43\|UPDATE_PORTAL_USER\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal user 'GuestUser-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583803 portalUserName=GuestUser-1
DELETE_PORTAL_USER	44	Удалены портальные пользователи	INFO	Пользователь / UI	Portal users '${portalUsersNames}' have been deleted.	portalUsersNames - логины удаленных пользователей	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|44\|DELETE_PORTAL_USER\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal users 'GuestUser-1, GuestUser-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583804 portalUsersNames=GuestUser-1, GuestUser-2

Обновление конфигурации профилирования

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_PROFILING_POLICY	21	Создана новая политика профилирования	INFO	Пользователь / UI	New profiling policy '${policyName}' has been created	policyName - имя созданной политики профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|21\|CREATE_PROFILING_POLICY\|6\|src=172.16.0.2 suser=test-user-1 msg=New profiling policy 'Policy-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583798 suser=test-user policyName=Policy-1
UPDATE_PROFILING_POLICY	22	Изменены параметры политики профилирования	INFO	Пользователь / UI	Profiling policies '${policyName}' have been edited.	policyName - имя измененной политики профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|22\|UPDATE_PROFILING_POLICY\|6\|src=172.16.0.2 suser=test-user-1 msg=Profiling policies 'Policy-1' have been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583798 suser=test-user policyName=Policy-1
DELETE_PROFILING_POLICY	23	Удалены политики профилирования	INFO	Пользователь / UI	Profiling policies '${policiesNames}' have been deleted.	policyNames - имена удаленных политик профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|23\|DELETE_PROFILING_POLICY\|6\|src=172.16.0.2 suser=test-user-1 msg=Profiling policies 'Policy-1, Policy-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583798 suser=test-user policiesNames=Policy-1, Policy-2
CREATE_PROFILING_CONDITION	24	Создано новое условие профилирования	INFO	Пользователь / UI	New profiling condition '${conditionName}' has been created.	conditionName - имя созданного условия профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|24\|CREATE_PROFILING_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=New profiling condition 'Condition-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583799 suser=test-user conditionName=Condition-1
UPDATE_PROFILING_CONDITION	25	Изменены параметры условия профилирования	INFO	Пользователь / UI	Profiling condition '${conditionName}' has been edited.	conditionName - имя измененного условия профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|25\|UPDATE_PROFILING_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=Profiling condition 'Condition-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583799 suser=test-user conditionName=Condition-1
DELETE_PROFILING_CONDITION	26	Удалены условия профилирования	INFO	Пользователь / UI	Profiling conditions '${conditionsNames}' have been deleted.	conditionNames - имена удаленных условия профилирования	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|26\|DELETE_PROFILING_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=Profiling conditions 'Condition-1, Condition-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583799 conditionsNames=Condition-1, Condition-2 suser=test-user
CREATE_LOGICAL_PROFILE	119	Создан новый логический профиль.	INFO	Пользователь / UI	Logical profile '${logicalProfileName}' has been created.	logicalProfileName - имя созданного логического профиля	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|119\|CREATE_LOGICAL_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=Logical profile 'Test logical profile' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583825 logicalProfileName=Test logical profile suser=test-user
UPDATE_LOGICAL_PROFILE	120	Изменены параметры логического профиля.	INFO	Пользователь / UI	Logical profile '${logicalProfileName}' has been edited.	logicalProfileName - имя измененного логического профиля	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|120\|UPDATE_LOGICAL_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=Logical profile 'Test logical profile' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583825 logicalProfileName=Test logical profile suser=test-user
DELETE_LOGICAL_PROFILES	121	Удалены логические профили.	INFO	Пользователь / UI	Logical profiles '${logicalProfilesNames}' have been deleted.	logicalProfileNames - именя удаленных логических профилей	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|121\|DELETE_LOGICAL_PROFILES\|6\|src=172.16.0.2 suser=test-user-1 msg=Logical profiles 'Test logical profile' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583825 suser=test-user logicalProfilesNames=Test logical profile

Обновление конфигурации цепочек идентификации

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_IDENTITY_SEQUENCE	27	Создана новая цепочка идентификации	INFO	Пользователь / UI	Identity sequence '${identitySequenceName}' has been created.	identitySequenceName - имя созданной цепочки идентификации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|27\|CREATE_IDENTITY_SEQUENCE\|6\|src=172.16.0.2 suser=test-user-1 msg=Identity sequence 'Sequence-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583799 suser=test-user identitySequenceName=Sequence-1
UPDATE_IDENTITY_SEQUENCE	28	Изменены параметры цепочки идентификации	INFO	Пользователь / UI	Identity sequence '${identitySequenceName}' has been edited.	identitySequenceName - имя измененной цепочки идентификации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|28\|UPDATE_IDENTITY_SEQUENCE\|6\|src=172.16.0.2 suser=test-user-1 msg=Identity sequence 'Sequence-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583800 suser=test-user identitySequenceName=Sequence-1
DELETE_IDENTITY_SEQUENCES	29	Удалены цепочки идентификации	INFO	Пользователь / UI	Identity sequences '${identitySequencesNames}' have been deleted.	identitySequenceNames - имена удаленных цепочек идентификации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|29\|DELETE_IDENTITY_SEQUENCES\|6\|src=172.16.0.2 suser=test-user-1 msg=Identity sequences 'Sequence-1, Sequence-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583800 suser=test-user identitySequencesNames=Sequence-1, Sequence-2

Обновление конфигурации сетевых ресурсов

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
NETWORK_DEVICE_CREATED	30	Создано новое сетевое устройство	INFO	Пользователь / UI	Network device ${deviceName} has been created.	deviceName - имя созданного устройства NAS	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|30\|NETWORK_DEVICE_CREATED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network device Device-1 has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583800 suser=test-user deviceName=Device-1
NETWORK_DEVICE_EDITED	31	Изменены параметры сетевого устройства	INFO	Пользователь / UI	Network device ${deviceName} has been changed.	deviceName - имя измененного устройства NAS	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|31\|NETWORK_DEVICE_EDITED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network device Device-1 has been changed. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583800 suser=test-user deviceName=Device-1
NETWORK_DEVICES_DELETED	32	Удалены сетевые устройства	INFO	Пользователь / UI	Network devices ${devicesNames} have been deleted.	deviceNames - имена удаленных NAS устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|32\|NETWORK_DEVICES_DELETED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network devices Device-1, Device-2 have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583801 devicesNames=Device-1, Device-2 suser=test-user
NETWORK_GROUP_CREATED	33	Создана новая сетевая группа	INFO	Пользователь / UI	Network group ${groupName} has been created.	groupName - имя созданной группы сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|33\|NETWORK_GROUP_CREATED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network group Group-1 has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583801 groupName=Group-1 suser=test-user
NETWORK_GROUP_EDITED	34	Изменены параметры сетевой группы	INFO	Пользователь / UI	Network group ${groupName} has been changed.	groupName - имя измененной группы сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|34\|NETWORK_GROUP_EDITED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network group Group-1 has been changed. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583801groupName=Group-1 suser=test-user
NETWORK_GROUPS_DELETED	35	Удалены сетевые группы	INFO	Пользователь / UI	Network groups ${groupsNames} have been deleted.	groupNames - имена удаленных групп сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|35\|NETWORK_GROUPS_DELETED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network groups Group-1, Group-2 have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583801 suser=test-user groupsNames=Group-1, Group-2
NETWORK_PROFILE_CREATED	36	Создан новый сетевой профиль	INFO	Пользователь / UI	Network profile ${profileName} has been created.	profileName - имя созданного профиля сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|36\|NETWORK_PROFILE_CREATED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network profile Profile-1 has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583802 profileName=Profile-1 suser=test-user
NETWORK_PROFILE_EDITED	37	Изменены параметры сетевого профиля	INFO	Пользователь / UI	Network profile ${profileName} has been changed.	profileName - имя измененого профиля сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|37\|NETWORK_PROFILE_EDITED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network profile Profile-1 has been changed. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583802 profileName=Profile-1 suser=test-user
NETWORK_PROFILES_DELETED	38	Удалены сетевые профили	INFO	Пользователь / UI	Network profiles ${profilesNames} have been deleted.	profileNames - имена удаленных профилей сетевых устройств	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|38\|NETWORK_PROFILES_DELETED\|6\|src=172.16.0.2 suser=test-user-1 msg=Network profiles Profile-1, Profile-2 have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583802 suser=test-user profilesNames=Profile-1, Profile-2

Обновление конфигурации порталов

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_PORTAL	39	Создан новый портал	INFO	Пользователь / UI	Portal '${portalName}' has been created.	portalName - имя созданного портала	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|39\|CREATE_PORTAL\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal 'Portal-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583802 portalName=Portal-1 suser=test-user
UPDATE_PORTAL	40	Изменены параметры портала	INFO	Пользователь / UI	Portal '${portalName}' has been edited.	portalName - имя измененного портала	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|40\|UPDATE_PORTAL\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal 'Portal-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583803 portalName=Portal-1 suser=test-user
DELETE_PORTAL	41	Удален портал	INFO	Пользователь / UI	Portal '${portalName}' has been deleted.	portalName - имя удаленного поратал	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|41\|DELETE_PORTAL\|6\|src=172.16.0.2 suser=test-user-1 msg=Portal 'Portal-1' has been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583803 portalName=Portal-1 suser=test-user

Обновление конфигурации политик RADIUS

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_RADIUS_POLICY_SET	45	Созданы новые наборы политик RADIUS	INFO	Пользователь / UI	Policy sets '${radiusPolicySetNames}' were created.	radiusPolicySetNames - имена созданных Radius политик	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|45\|CREATE_RADIUS_POLICY_SET\|6\|src=172.16.0.2 suser=test-user-1 msg=Policy sets 'PolicySet-1' were created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583804 suser=test-user radiusPolicySetNames=PolicySet-1
UPDATE_RADIUS_POLICY_SET	46	Изменены параметры наборов политик RADIUS	INFO	Пользователь / UI	Policy sets '${radiusPolicySetNames}' were edited.	radiusPolicySetNames - имена измененнных Radius политик	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|46\|UPDATE_RADIUS_POLICY_SET\|6\|src=172.16.0.2 suser=test-user-1 msg=Policy sets 'PolicySet-1' were edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583804 suser=test-user radiusPolicySetNames=PolicySet-1
DELETE_RADIUS_POLICY_SETS	47	Удалены наборы политик RADIUS	INFO	Пользователь / UI	Policy sets '${radiusPolicySetNames}' were deleted.	radiusPolicySetNames - имена удаленных Radius политик	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|47\|DELETE_RADIUS_POLICY_SETS\|6\|src=172.16.0.2 suser=test-user-1 msg=Policy sets 'PolicySet-1' were deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583804 suser=test-user radiusPolicySetNames=PolicySet-1
CREATE_RADIUS_AUTH_PROFILE	48	Создан новый профиль авторизации RADIUS	INFO	Пользователь / UI	Authorization profile '${radiusAuthProfileName}' was created.	radiusAuthProfileName - имя созданного профиля авторизации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|48\|CREATE_RADIUS_AUTH_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=Authorization profile 'AuthProfile-1' was created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583804 radiusAuthProfileName=AuthProfile-1 suser=test-user
UPDATE_RADIUS_AUTH_PROFILE	49	Изменены параметры профиля авторизации RADIUS	INFO	Пользователь / UI	Authorization profile '${radiusAuthProfileName}' was edited.	radiusAuthProfileName - имя измененного профиля авторизации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|49\|UPDATE_RADIUS_AUTH_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=Authorization profile 'AuthProfile-1' was edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583805 radiusAuthProfileName=AuthProfile-1 suser=test-user
DELETE_RADIUS_AUTH_PROFILES	50	Удалены профили авторизации RADIUS	INFO	Пользователь / UI	Authorization profiles '${radiusAuthProfilesNames}' were deleted.	radiusAuthProfileNames - имена удаленных профилей авторизации	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|50\|DELETE_RADIUS_AUTH_PROFILES\|6\|src=172.16.0.2 suser=test-user-1 msg=Authorization profiles 'AuthProfile-1, AuthProfile-2' were deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583805 suser=test-user radiusAuthProfilesNames=AuthProfile-1, AuthProfile-2
CREATE_RADIUS_ALLOWED_PROTOCOL	51	Создан новый список разрешенных протоколов RADIUS	INFO	Пользователь / UI	List of allowed protocols '${radiusAllowedProtocolName}' was created.	radiusAllowedProtocolName - имя созданного списка разрешенных протоколов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|51\|CREATE_RADIUS_ALLOWED_PROTOCOL\|6\|src=172.16.0.2 suser=test-user-1 msg=List of allowed protocols 'AllowedProtocol-1' was created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583805 suser=test-user radiusAllowedProtocolName=AllowedProtocol-1
UPDATE_RADIUS_ALLOWED_PROTOCOL	52	Изменены параметры списка разрешенных протоколов RADIUS	INFO	Пользователь / UI	List of allowed protocols '${radiusAllowedProtocolName}' was edited	radiusAllowedProtocolName - имя измененного списка разрешенных протоколов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|52\|UPDATE_RADIUS_ALLOWED_PROTOCOL\|6\|src=172.16.0.2 suser=test-user-1 msg=List of allowed protocols 'AllowedProtocol-1' was edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583805 suser=test-user radiusAllowedProtocolName=AllowedProtocol-1
DELETE_RADIUS_ALLOWED_PROTOCOLS	53	Удалены списки разрешенных протоколов RADIUS	INFO	Пользователь / UI	List of allowed protocols '${radiusAllowedProtocolNames}' was deleted.	radiusAllowedProtocolNames - имена удаленных списков разрешенных протоколов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|53\|DELETE_RADIUS_ALLOWED_PROTOCOLS\|6\|src=172.16.0.2 suser=test-user-1 msg=List of allowed protocols 'AllowedProtocol-1' was deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583806 suser=test-user radiusAllowedProtocolNames=AllowedProtocol-1
CREATE_LOGICAL_CONDITION	54	Создано новое условие для политик RADIUS	INFO	Пользователь / UI	Condition '${radiusConditionName}' was created.	radiusConditionName - имя созданного условия политики Radius	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|54\|CREATE_LOGICAL_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=Condition 'RadiusCondition-1' was created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583806 suser=test-user radiusConditionName=RadiusCondition-1
UPDATE_LOGICAL_CONDITION	55	Изменены параметры условия для политик RADIUS	INFO	Пользователь / UI	Condition '${radiusConditionName}' was edited.	radiusConditionName - имя измененного условия политики Radius	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|55\|UPDATE_LOGICAL_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=Condition 'RadiusCondition-1' was edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583806 suser=test-user radiusConditionName=RadiusCondition-1
DELETE_LOGICAL_CONDITIONS	56	Удалены условия для политик RADIUS	INFO	Пользователь / UI	Condition '${radiusConditionNames}' was deleted	radiusConditionNames - имена удаленных условий политик Radius	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|56\|DELETE_LOGICAL_CONDITIONS\|6\|src=172.16.0.2 suser=test-user-1 msg=Condition 'RadiusCondition-1, RadiusCondition-2' was deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583806 suser=test-user radiusConditionNames=RadiusCondition-1, RadiusCondition-2

Обновление конфигурации элементов управления идентификацией

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_USER	57	Создан новый пользователь сети	INFO	Пользователь / UI	Network user '${identityUserName}' has been created.	identityUserName - имя созданного пользователя сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|57\|CREATE_USER\|6\|src=172.16.0.2 suser=test-user-1 msg=Network user 'User-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583806 suser=test-user identityUserName=User-1
UPDATE_USER	58	Изменены параметры пользователя сети	INFO	Пользователь / UI	Network user '${identityUserName}' has been edited.	identityUserName - имя измененного пользователя сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|58\|UPDATE_USER\|6\|src=172.16.0.2 suser=test-user-1 msg=Network user 'User-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583807 suser=test-user identityUserName=User-1
DELETE_USERS	59	Удалены пользователи сети	INFO	Пользователь / UI	Network users '${identityUsersNames}' have been deleted.	identityUsersNames - имена удаленных пользователей сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|59\|DELETE_USERS\|6\|src=172.16.0.2 suser=test-user-1 msg=Network users 'User-1, User-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583807 identityUsersNames=User-1, User-2 suser=test-user
CREATE_USERS_GROUP	60	Создана новая группа пользователей сети	INFO	Пользователь / UI	Network users group '${identityUsersGroupName}' has been created.	identityUsersGroupName - имя созданной группы пользователей сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|60\|CREATE_USERS_GROUP\|6\|src=172.16.0.2 suser=test-user-1 msg=Network users group 'UserGroup-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583807 identityUsersGroupName=UserGroup-1 suser=test-user
UPDATE_USERS_GROUP	61	Изменены параметры группы пользователей сети	INFO	Пользователь / UI	Network users group '${identityUsersGroupName}' has been edited.	identityUsersGroupName - имя измененной группы пользователей сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|61\|UPDATE_USERS_GROUP\|6\|src=172.16.0.2 suser=test-user-1 msg=Network users group 'UserGroup-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583807 identityUsersGroupName=UserGroup-1 suser=test-user
DELETE_USERS_GROUPS	62	Удалены группы пользователей сети	INFO	Пользователь / UI	Network users groups '${identityUsersGroupsNames}' have been deleted.	identityUsersGroupNames - имена удаленных групп пользователей сети	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|62\|DELETE_USERS_GROUPS\|6\|src=172.16.0.2 suser=test-user-1 msg=Network users groups 'UserGroup-1, UserGroup-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583808 identityUsersGroupsNames=UserGroup-1, UserGroup-2 suser=test-user

Обновление конфигурации эндпоинтов

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_ENDPOINT	63	Создан новый эндпоинт	INFO	Пользователь / UI	Endpoint '${endpointName}' has been created.	endpointName - мак адрес созданного endpoint-а	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|63\|CREATE_ENDPOINT\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoint 'AA:BB:CC:DD:00:01' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583808 suser=test-user endpointName=AA:BB:CC:DD:00:01
UPDATE_ENDPOINTS	64	Изменены параметры эндпоинтов	INFO	Пользователь / UI	Endpoints '${endpointsNames}' have been edited	endpointName - мак адрес измененного endpoint-а	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|64\|UPDATE_ENDPOINTS\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoints 'AA:BB:CC:DD:00:01, AA:BB:CC:DD:00:02' have been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583808 suser=test-user service=naice-service endpointName=AA:BB:CC:DD:00:01
DELETE_ENDPOINTS	65	Удалены эндпоинты	INFO	Пользователь / UI	Endpoints '${endpointsNames}' have been deleted.	endpointNames - мак адреса удаленных endpoint-ов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|65\|DELETE_ENDPOINTS\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoints 'AA:BB:CC:DD:00:01, AA:BB:CC:DD:00:02' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583808 suser=test-user endpointsNames=AA:BB:CC:DD:00:01, AA:BB:CC:DD:00:02
CREATE_ENDPOINTS_GROUP	66	Создана новая группа эндпоинтов	INFO	Пользователь / UI	Endpoints group '${endpointsGroupName}' has been created.	endpointsGroupName - имя созданной группы endpoint-ов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|66\|CREATE_ENDPOINTS_GROUP\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoints group 'EndpointGroup-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583809 suser=test-user endpointsGroupName=EndpointGroup-1
UPDATE_ENDPOINTS_GROUP	67	Изменены параметры группы эндпоинтов	INFO	Пользователь / UI	Endpoints group '${endpointsGroupName}' has been edited.	endpointsGroupName - имя измененной группы endpoint-ов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|67\|UPDATE_ENDPOINTS_GROUP\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoints group 'EndpointGroup-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583809 suser=test-user endpointsGroupName=EndpointGroup-1
DELETE_ENDPOINTS_GROUPS	68	Удалены группы эндпоинтов	INFO	Пользователь / UI	Endpoints groups '${endpointsGroupsNames}' have been deleted.	endpointsGroupsNames - имена удаленных групп endpoint-ов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|68\|DELETE_ENDPOINTS_GROUPS\|6\|src=172.16.0.2 suser=test-user-1 msg=Endpoints groups 'EndpointGroup-1' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583809 suser=test-user endpointsGroupsNames=EndpointGroup-1

Обновление конфигурации внешних источников идентификации

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_EXTERNAL_IDENTITY_SOURCE	69	Создан новый внешний источник идентификации	INFO	Пользователь / UI	External source '${externalSourceName}' has been created.	externalSourceName - имя созданного внешнего источника	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|69\|CREATE_EXTERNAL_IDENTITY_SOURCE\|6\|src=172.16.0.2 suser=test-user-1 msg=External source 'LDAPServer-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583809 externalSourceName=LDAPServer-1 suser=test-user
UPDATE_EXTERNAL_IDENTITY_SOURCE	70	Изменены параметры внешнего источника идентификации	INFO	Пользователь / UI	External source '${externalSourceName}' has been edited.	externalSourceName - имя измененного внешнего источника	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|70\|UPDATE_EXTERNAL_IDENTITY_SOURCE\|6\|src=172.16.0.2 suser=test-user-1 msg=External source 'LDAPServer-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583810 externalSourceName=LDAPServer-1 suser=test-user
DELETE_EXTERNAL_IDENTITY_SOURCES	71	Удалены внешние источники идентификации	INFO	Пользователь / UI	External sources '${externalSourcesNames}' have been deleted.	externalSourceNames - имена удаленных внешних источников	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|71\|DELETE_EXTERNAL_IDENTITY_SOURCES\|6\|src=172.16.0.2 suser=test-user-1 msg=External sources 'LDAPServer-1, ADServer-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583810 externalSourcesNames=LDAPServer-1, ADServer-2 suser=test-user

Обновление конфигурации шлюзов оповещений

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_NOTIFICATION_GATEWAY	72	Создан новый шлюз оповещения	INFO	Пользователь / UI	Notification gateway '${notificationGateway}' was created.	notificationGateway - имя созданного шлюза	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|72\|CREATE_NOTIFICATION_GATEWAY\|6\|src=172.16.0.2 suser=test-user-1 msg=Notification gateway 'EmailGateway-1' was created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583810 suser=test-user notificationGateway=EmailGateway-1
UPDATE_NOTIFICATION_GATEWAY	73	Изменены параметры шлюза оповещения	INFO	Пользователь / UI	Notification gateway '${notificationGateway}' was edited.	notificationGateway - имя измененного шлюза	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|73\|UPDATE_NOTIFICATION_GATEWAY\|6\|src=172.16.0.2 suser=test-user-1 msg=Notification gateway 'EmailGateway-1' was edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583811 suser=test-user notificationGateway=EmailGateway-1
DELETE_NOTIFICATION_GATEWAY	74	Удалены шлюзы оповещения	INFO	Пользователь / UI	Notification gateways '${notificationGateways}' were deleted.	notificationGateways - имена удаленных шлюзов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|74\|DELETE_NOTIFICATION_GATEWAY\|6\|src=172.16.0.2 suser=test-user-1 msg=Notification gateways 'EmailGateway-1, SMSGateway-2' were deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583811 suser=test-user notificationGateways=EmailGateway-1, SMSGateway-2

Обновление конфигурации RBAC

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
RBAC_ADMIN_CREATED	75	Создан новый пользователь системы	INFO	Пользователь / UI	Created user with login '${login}' and role '${role}'.	login - логин созданного администратора системы role - роль, с которой создан администратор системы	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|75\|RBAC_ADMIN_CREATED\|8\|src=172.16.0.2 suser=test-user-1 msg=Created user with login 'admin-1' and role 'SUPER_ADMIN'. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583811 role=SUPER_ADMIN suser=test-user login=admin-1
RBAC_ADMIN_CHANGED	76	Изменены данные пользователя системы	INFO	Пользователь / UI	Created user with login '${login}' and role '${role}'.	login - логин изменненого администратора системы role - роль, измененного администратора системы	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|76\|RBAC_ADMIN_CHANGED\|8\|src=172.16.0.2 suser=test-user-1 msg=Changed user with login 'admin-1' and role 'SUPER_ADMIN'. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583811 role=SUPER_ADMIN suser=test-user service=naice-service login=admin-1
RBAC_ADMINS_DELETED	77	Удалены пользователи системы	WARNING	Пользователь / UI	Users '${logins}' have been deleted.	logins - логины удаленных администраторов системы	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|77\|RBAC_ADMINS_DELETED\|8\|src=172.16.0.2 suser=test-user-1 msg=Users 'admin-1, admin-2' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=WARNING start=1762316583812 suser=test-user logins=admin-1, admin-2 adminLogin=admin-1
CREATE_ROLE	80	Создана новая роль RBAC	INFO	Пользователь / UI	Role with a name: '${role}' has been created.	role - имя созданной роли	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|80\|CREATE_ROLE\|6\|src=172.16.0.2 suser=test-user-1 msg=Role with a name: 'SUPER_ADMIN' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583812 role=SUPER_ADMIN suser=test-user
EDIT_ROLE	81	Изменены параметры роли RBAC	INFO	Пользователь / UI	Role with name '${role}' has been edited.	role - имя измененной роли	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|81\|EDIT_ROLE\|6\|src=172.16.0.2 suser=test-user-1 msg=Role with name 'SUPER_ADMIN' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583813 role=SUPER_ADMIN suser=test-user
DELETE_ROLE	82	Удалены роли RBAC	INFO	Пользователь / UI	Roles with names '${roles}' has been deleted.	roles - имена удаленных ролей	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|82\|DELETE_ROLE\|6\|src=172.16.0.2 suser=test-user-1 msg=Roles with names 'CustomRole-1, CustomRole-2' has been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583813 suser=test-user roles=CustomRole-1, CustomRole-2
RBAC_CURRENT_ADMIN_CHANGED	116	Пользователь изменил параметры своей учетной записи	INFO	Пользователь / UI	User with login '${login}' and role '${role}' has updated his account settings.	login - логин изменненого администратора системы role - текущая роль администратора	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|116\|RBAC_CURRENT_ADMIN_CHANGED\|8\|src=172.16.0.2 suser=test-user-1 msg=User with login 'admin-1' and role 'SUPER_ADMIN' has updated his account settings. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583824 role=SUPER_ADMIN suser=test-user login=admin-1

Обновление системной конфигурации

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_LOG_COLLECTOR	113	Создан новый лог-коллектор	INFO	Пользователь / UI	Log collector '${logCollectorName}' has been created.	logCollectorName - имя созданного лог коллектора	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|113\|CREATE_LOG_COLLECTOR\|6\|src=172.16.0.2 suser=test-user-1 msg=Log collector 'SyslogCollector-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583823 hostname=naice-production-server suser=test-user logCollectorName=SyslogCollector-1
UPDATE_LOG_COLLECTOR	114	Изменены параметры лог-коллектора	INFO	Пользователь / UI	Log collector '${logCollectorName}' has been edited	logCollectorName - имя измененного лог коллектора	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|114\|UPDATE_LOG_COLLECTOR\|6\|src=172.16.0.2 suser=test-user-1 msg=Log collector 'SyslogCollector-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583824 suser=test-user logCollectorName=SyslogCollector-1
DELETE_LOG_COLLECTORS	115	Удалены лог-коллекторы	INFO	Пользователь / UI	Log collectors '${logCollectorsNames}' have been deleted.	logCollectorNames - имена удаленных лог коллекторов	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|115\|DELETE_LOG_COLLECTORS\|6\|src=172.16.0.2 suser=test-user-1 msg=Log collectors 'SyslogCollector-1' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583824 suser=test-user logCollectorsNames=SyslogCollector-1
SEND_TEST_EVENT_LOG_COLLECTOR	122	Пользователь отправил тестовое событие в лог коллектор	INFO	Пользователь / UI	User sent test event to log collector.	-	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|122\|SEND_TEST_EVENT_LOG_COLLECTOR\|3\|src=172.16.0.2 suser=test-user-1 msg=User sent test event to log collector. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583825 suser=test-user

Пользовательские сессии

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_USER_SESSION	78	Пользователь вошел в систему	INFO	Сервис авторизации администраторов	User '${login}' sign in to system with role '${authorities}' from ip '${userIp}'.	login - имя администратора совершившего вход в систему authorities - права администратора вошедшего в систему userIp - IP адрес с которого администратор совершил вход в систему	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|78\|CREATE_USER_SESSION\|6\|src=172.16.0.2 suser=test-user-1 msg=User 'user-1' sign in to system with role 'ROLE_ADMIN, ROLE_USER' from ip '192.168.1.100'. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583812 suser=test-user userIp=192.168.1.100 login=user-1 authorities=ROLE_ADMIN, ROLE_USER
DESTROY_USER_SESSION	79	Пользователь вышел из системы	INFO	Сервис авторизации администраторов	User '${login}' logout from system from ip '${userIp}'.	login - имя администратора совершившего выход из системы userIp - IP адрес с которого администратор совершил выход из системы	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|79\|DESTROY_USER_SESSION\|6\|src=172.16.0.2 suser=test-user-1 msg=User 'user-1' logout from system from ip '192.168.1.100'. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583812 suser=test-user userIp=192.168.1.100 login=user-1
TERMINATED_USER_SESSION	117	Пользовательская сессия прервана	INFO	Сервис авторизации администраторов	User session '${login}' from ip '${userIp}' is terminated.	login - имя администратора, для которого прервана сессия userIp - IP адрес администратора	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|117\|TERMINATED_USER_SESSION\|6\|src=172.16.0.2 suser=test-user-1 msg=User session 'user-1' from ip '192.168.1.100' is terminated. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583824 suser=test-user userIp=192.168.1.100 login=user-1
EXPIRED_USER_SESSION	118	Пользовательская сессия истекла	INFO	Сервис авторизации администраторов	User session '${login}' from ip '${userIp}' is expired.	login - имя администратора, для которого истекла сессия userIp - IP адрес администратора	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|118\|EXPIRED_USER_SESSION\|6\|src=172.16.0.2 suser=test-user-1 msg=User session 'user-1' from ip '192.168.1.100' is expired. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583825 suser=test-user userIp=192.168.1.100 login=user-1

Обновление конфигурации политик TACACS

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
CREATE_TACACS_POLICY_SET	83	Создан новый набор политик TACACS+	INFO	Пользователь / UI	TACACS+ policy set '${tacacsPolicySetName}' has been created.	tacacsPolicySetName - имя созданного набора политик Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|83\|CREATE_TACACS_POLICY_SET\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ policy set 'TacacsPolicySet-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583813 suser=test-user service=naice-service tacacsPolicySetName=TacacsPolicySet-1
UPDATE_TACACS_POLICY_SET	84	Изменены параметры наборов политик TACACS+	INFO	Пользователь / UI	TACACS+ policy sets '${tacacsPolicySetsNames}' have been edited.	tacacsPolicySetsNames - имена измененных наборов политик Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|84\|UPDATE_TACACS_POLICY_SET\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ policy sets 'TacacsPolicySet-1' have been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583813 tacacsPolicySetsNames=TacacsPolicySet-1 suser=test-user
DELETE_TACACS_POLICY_SETS	85	Удалены наборы политик TACACS+	INFO	Пользователь / UI	TACACS+ policy sets '${tacacsPolicySetsNames}' have been deleted.	tacacsPolicySetNames - имена удаленных политик Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|85\|DELETE_TACACS_POLICY_SETS\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ policy sets 'TacacsPolicySet-1' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583814 tacacsPolicySetsNames=TacacsPolicySet-1 suser=test-user
CREATE_TACACS_PROFILE	86	Создан новый профиль TACACS+	INFO	Пользователь / UI	TACACS+ profile '${tacacsProfileName}' has been created.	tacacsProfileName - имя созданного профиля Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|86\|CREATE_TACACS_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ profile 'TacacsProfile-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583814 tacacsProfileName=TacacsProfile-1 suser=test-user
UPDATE_TACACS_PROFILE	87	Изменены параметры профиля TACACS+	INFO	Пользователь / UI	TACACS+ profile '${tacacsProfileName}' has been edited.	tacacsProfileName - имя измененного профиля Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|87\|UPDATE_TACACS_PROFILE\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ profile 'TacacsProfile-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583814 tacacsProfileName=TacacsProfile-1 suser=test-user
DELETE_TACACS_PROFILES	88	Удалены профили TACACS+	INFO	Пользователь / UI	TACACS+ profiles '${tacacsProfilesNames}' have been deleted.	tacacsProfilesNames - имена удаленных наборов Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|88\|DELETE_TACACS_PROFILES\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ profiles 'TacacsProfile-1' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583814 tacacsProfilesNames=TacacsProfile-1 suser=test-user
CREATE_TACACS_COMMAND	89	Создан новый набор команд TACACS+	INFO	Пользователь / UI	TACACS+ command set '${tacacsCommandName}' has been created.	tacacsCommandName - имя созданного набора команд Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|89\|CREATE_TACACS_COMMAND\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ command set 'CommandSet-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583814 tacacsCommandName=CommandSet-1
UPDATE_TACACS_COMMAND	90	Изменены параметры набора команд TACACS+	INFO	Пользователь / UI	TACACS+ command set '${tacacsCommandName}' has been edited.	tacacsCommandName - имя изменненого набора команд Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|90\|UPDATE_TACACS_COMMAND\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ command set 'CommandSet-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583815 suser=test-user tacacsCommandName=CommandSet-1
DELETE_TACACS_COMMANDS	91	Удалены наборы команд TACACS+	INFO	Пользователь / UI	TACACS+ command sets '${tacacsCommandsNames}' have been deleted.	tacacsCommandNames - имена удаленных наборов команд Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|91\|DELETE_TACACS_COMMANDS\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ command sets 'CommandSet-1' have been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583815 tacacsCommandsNames=CommandSet-1 suser=test-user
CREATE_TACACS_CONDITION	92	Создано новое условие для политик TACACS+	INFO	Пользователь / UI	TACACS+ condition '${tacacsConditionName}' has been created.	tacacsConditionName - имя созданного условия политик Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|92\|CREATE_TACACS_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ condition 'TacacsCondition-1' has been created. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583815 tacacsConditionName=TacacsCondition-1 suser=test-user
UPDATE_TACACS_CONDITION	93	Изменены параметры условия для политик TACACS+	INFO	Пользователь / UI	TACACS+ condition '${tacacsConditionName}' has been edited.	tacacsConditionName - имя изменненого условия политики Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|93\|UPDATE_TACACS_CONDITION\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ condition 'TacacsCondition-1' has been edited. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583815 tacacsConditionName=TacacsCondition-1 suser=test-user
DELETE_TACACS_CONDITIONS	94	Удалены условия для политик TACACS+	INFO	Пользователь / UI	TACACS+ conditions '${tacacsConditionsName}' has been deleted.	tacacsConditionsName - имя удаленного условия Tacacs	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|94\|DELETE_TACACS_CONDITIONS\|6\|src=172.16.0.2 suser=test-user-1 msg=TACACS+ conditions 'TacacsCondition-1' has been deleted. dst=172.20.0.1 dst_host=naice-destination-host-1 dpt=443 proto=HTTPS event_log_level=INFO start=1762316583816 tacacsConditionsName=TacacsCondition-1

RADIUS

Аутентификация

Возможные поля в событиях:

device_profile - профиль устройства, под который попал NAS
device_type - системная группа устройств, определяющая тип устровства
authentication_protocol - протокол аутентификации
nas_ip_address - ip адрес NAS устройства
nas_port_type - значение Radius атрибута NAS-Port-Type
network_device - имя NAS устройства в системе NAICE
session_creation_timestamp - время создания пользовательской сессии
policy_set - политика, под которую попал пользователь
authentication_policy - политика аутентификации, под которую попал пользователь
session_status - состояние сессии: CREATED/ACCEPTED/REJECTED/EXPIRED
identity_source - имя источника, через который аутентифицировался пользователь
identity_source_type - тип источника аутентификации
device_location - системная группа расположения устройств
authorization_policy - политика авторизации под которую попал пользователь
acct_session_id - значение атрибута Acct-Session-Id Radius
session_updating_timestamp - время обновления сессии
flow_type - тип подключения пользователя
calling_station_id - значение Radius атрибута Calling-Station-Id
username - логин пользователя

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
RADIUS_SESSION_CREATED	95	Создана новая RADIUS сессия	INFO	Сервис авторизации пользователей	RADIUS session was created.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|95\|RADIUS_SESSION_CREATED\|6\|src=192.168.1.2 suser=test-user-1 msg=RADIUS session was created. dst=10.10.0.1 dst_host=naice-destination-host-1 dpt=1812 proto=RADIUS event_log_level=INFO start=1762316583817 device_profile=Eltex MES device_type=Switch authentication_protocol=eap-tls nas_ip_address=192.168.1.1 nas_port_type=Ethernet network_device=Switch-1 session_creation_timestamp=2025-10-17T10:00:00Z policy_set=Test Policy Set vendor=Eltex authentication_policy=Test Auth Policy session_status=CREATED event=INFO identity_source=Internal Users device_location=Building 1 acct_session_id=session-12345 service_type=Login session_updating_timestamp=2025-10-17T10:05:00Z flow_type=Wired802_1x suser=test-user service=naice-service authorization_policy=Test Authz Policy identity_source_type=LOCAL calling_station_id=AA:BB:CC:DD:EE:FF username=radius-user-1
RADIUS_AUTHENTICATION_SUCCESS	96	RADIUS сессия успешно прошла аутентификацию	INFO	Сервис авторизации пользователей	RADIUS session success auth.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|96\|RADIUS_AUTHENTICATION_SUCCESS\|6\|src=192.168.1.2 suser=test-user-1 msg=RADIUS session success auth. dst=10.10.0.1 dst_host=naice-destination-host-1 dpt=1812 proto=RADIUS event_log_level=INFO start=1762316583817 device_profile=Eltex MES device_type=Switch authentication_protocol=eap-tls nas_ip_address=192.168.1.1 nas_port_type=Ethernet network_device=Switch-1 session_creation_timestamp=2025-10-17T10:00:00Z policy_set=Test Policy Set vendor=Eltex authentication_policy=Test Auth Policy session_status=ACCEPTED event=SUCCESS identity_source=Internal Users device_location=Building 1 acct_session_id=session-12345 service_type=Login session_updating_timestamp=2025-10-17T10:05:00Z flow_type=Wired802_1x suser=test-user service=naice-service authorization_policy=Test Authz Policy identity_source_type=LOCAL calling_station_id=AA:BB:CC:DD:EE:FF username=radius-user-1
RADIUS_SESSION_EXPIRED	97	RADIUS сессия истекла	INFO	Сервис авторизации пользователей	RADIUS session is expired.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|97\|RADIUS_SESSION_EXPIRED\|6\|src=192.168.1.2 suser=test-user-1 msg=RADIUS session is expired. dst=10.10.0.1 dst_host=naice-destination-host-1 dpt=1812 proto=RADIUS event_log_level=INFO start=1762316583818 device_profile=Eltex MES device_type=Switch authentication_protocol=eap-tls nas_ip_address=192.168.1.1 nas_port_type=Ethernet network_device=Switch-1 session_creation_timestamp=2025-10-17T10:00:00Z policy_set=Test Policy Set vendor=Eltex authentication_policy=Test Auth Policy session_status=EXPIRED event=INFO identity_source=Internal Users device_location=Building 1 acct_session_id=session-12345 service_type=Login session_updating_timestamp=2025-10-17T10:05:00Z flow_type=Wired802_1x suser=test-user service=naice-service authorization_policy=Test Authz Policy identity_source_type=LOCAL calling_station_id=AA:BB:CC:DD:EE:FF username=radius-user-1
RADIUS_SESSION_REJECTED	98	RADIUS сессия отклонена	WARNING	Сервис авторизации пользователей	RADIUS session is rejected.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|98\|RADIUS_SESSION_REJECTED\|6\|src=192.168.1.2 suser=test-user-1 msg=RADIUS session is rejected. dst=10.10.0.1 dst_host=naice-destination-host-1 dpt=1812 proto=RADIUS event_log_level=WARNING start=1762316583818 device_profile=Eltex MES device_type=Switch authentication_protocol=eap-tls nas_ip_address=192.168.1.1 nas_port_type=Ethernet network_device=Switch-1 session_creation_timestamp=2025-10-17T10:00:00Z policy_set=Test Policy Set vendor=Eltex authentication_policy=Test Auth Policy session_status=REJECTED event=INFO identity_source=Internal Users device_location=Building 1 acct_session_id=session-12345 service_type=Login session_updating_timestamp=2025-10-17T10:05:00Z flow_type=Wired802_1x suser=test-user service=naice-service authorization_policy=Test Authz Policy identity_source_type=LOCAL calling_station_id=AA:BB:CC:DD:EE:FF username=radius-user-1

TACACS

Аутентификация

Возможные поля в событиях:

device_profile - профиль устройства, под который попал NAS
device_type - системная группа устройств, определяющая тип устровства
authentication_protocol - протокол аутентификации
nas_ip_address - ip адрес NAS устройства
nas_port_type - значение Radius атрибута NAS-Port-Type
network_device - имя NAS устройства в системе NAICE
session_creation_timestamp - время создания пользовательской сессии
policy_set - политика, под которую попал пользователь
authentication_policy - политика аутентификации, под которую попал пользователь
session_status - состояние сессии: CREATED/ACCEPTED/REJECTED/EXPIRED
identity_source - имя источника, через который аутентифицировался пользователь
identity_source_type - тип источника аутентификации
device_location - системная группа расположения устройств
authorization_policy - политика авторизации под которую попал пользователь
acct_session_id - значение атрибута Acct-Session-Id Radius
session_updating_timestamp - время обновления сессии
flow_type - тип подключения пользователя
calling_station_id - значение Radius атрибута Calling-Station-Id
username - логин пользователя

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
TACACS_AUTHENTICATION_ACCESS_START	103	Пользователь начал аутентификацию доступа через TACACS	INFO	Сервис Tacacs	User '${tacacsUsername}' start authentication via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|103\|TACACS_AUTHENTICATION_ACCESS_START\|3\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' start authentication via 'SSH'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583821 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=START packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_AUTHENTICATION_ACCESS_SUCCESS	104	Пользователь успешно прошел аутентификацию доступа через TACACS	INFO	Сервис Tacacs	User '${tacacsUsername}' successfully authenticate via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|104\|TACACS_AUTHENTICATION_ACCESS_SUCCESS\|6\|msg=User 'tester1234567' successfully authenticate via '{authenProtocol}'. dpt=49 proto=TACACS event_log_level=INFO start=1760346139697 packetType=AUTHENTICATION profileName=Maximum privilege deviceIp=100.127.0.119 authorizationPolicyName=Default creationTime=1760346139678 policySetName=NewPolicy Set 1 authenticationPolicyName=Default attemptUserCount=1 identitySourceName=Internal DB deviceName=100.127.0.119 authenService=Login authenProtocol=ASCIIdeviceProfile=Eltex MES port=ssh identitySourceType=LOCAL tacacsUsername=tester1234567 attemptPasswordCount=1 privilegeLvl=1 remoteAddress=100.125.0.64 authenticationStatus=FOUNDstatus=PASS
TACACS_AUTHENTICATION_ACCESS_FAILED	105	Пользователь не прошел аутентификацию доступа через TACACS	INFO	Сервис Tacacs	User '${tacacsUsername}' failed authentication via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|105\|TACACS_AUTHENTICATION_ACCESS_FAILED\|8\|src=100.125.0.64 suser=tester1234567 msg=User 'tester1234567' failed authentication via 'ASCII'. dst=100.127.0.119dst_host=ubuntu22 dpt=49 proto=TACACS event_log_level=INFO start=1760356322298 packetType=AUTHENTICATION profileName=Deny all shell profile deviceIp=100.127.0.119authorizationPolicyName=Default creationTime=1760356322298 policySetName=New Policy Set 1 authenticationPolicyName=Default attemptUserCount=1 identitySourceName=Internal DBdeviceName=100.127.0.119 authenService=Login authenProtocol=ASCII deviceProfile=Eltex MES port=ssh identitySourceType=LOCAL tacacsUsername=tester1234567 failReason=SelectedTACACS profile is DenyAll attemptPasswordCount=1 privilegeLvl=1 remoteAddress=100.125.0.64 authenticationStatus=FOUND status=FAIL
TACACS_AUTHENTICATION_ENABLE_START	106	Пользователь начал аутентификацию для изменения уровня привилегий	INFO	Сервис Tacacs	User '${tacacsUsername}' start to change privilege level to '${privilegeLvl}' via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|106\|TACACS_AUTHENTICATION_ENABLE_START\|3\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' start to change privilege level to '15' via 'SSH'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583821 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=START packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_AUTHENTICATION_ENABLE_SUCCESS	107	Пользователь успешно изменил уровень привилегий	INFO	Сервис Tacacs	User '${tacacsUsername}' successfully changed privilege level to '${privilegeLvl}' via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|107\|TACACS_AUTHENTICATION_ENABLE_SUCCESS\|6\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' successfully changed privilege level to '15' via 'SSH'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583822 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=PASS packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_AUTHENTICATION_ENABLE_FAILED	108	Пользователь не смог изменить уровень привилегий	INFO	Сервис Tacacs	User '${tacacsUsername}' failed to change privilege level to '${privilegeLvl}' via '${authenProtocol}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|108\|TACACS_AUTHENTICATION_ENABLE_FAILED\|8\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' failed to change privilege level to '15' via 'SSH'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583822 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=FAIL packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins

Авторизация

Возможные поля в событиях:

profileName - имя профиля под который попал администратор
deviceIp - адрес устройство на котором пользователь выполняет команду
requestArguments - аргументы выполняемой команды
authorizationPolicyName - политика авторизаций, под которую попал администратор
creationTime - время создания записи
authenticationPolicyName - политика аутентификации под которую попал администратор
identitySourceName - имя источника аутентификации
commandSetName - имя набора команд
deviceProfile - профиль устройства на котором пользователь выполняет команду
tacacsUsername - логин администратора
attemptUserCount - количество попыток запроса логина
attemptPasswordCount - количество попыток запроса пароля
privilegeLvl - уровень привелегии
remoteAddress - адрес устройства с которого администратор настраивает сетевое устройство
authenMethod - метод аутентификации
failReason - описание ошибки

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
TACACS_AUTHORIZATION_ACCESS_SUCCESS	99	Пользователь успешно прошел авторизацию доступа	INFO	Сервис Tacacs	User '${tacacsUsername}' successfully authorized via TACACS.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|99\|TACACS_AUTHORIZATION_ACCESS_SUCCESS\|6\|msg=User 'tester1234567' successfully authorized via TACACS. dpt=49 proto=TACACS event_log_level=INFO start=1760346139711packetType=AUTHORIZATION profileName=Maximum privilege deviceIp=100.127.0.119 requestArguments=service\=shell,cmd* authorizationPolicyName=Default creationTime=1760346139706 policySetName=New Policy Set 1 authenticationPolicyName=Default attemptUserCount=0 authenMethod=TacacsPlus identitySourceName=Internal DB deviceName=100.127.0.119 deviceProfile=Eltex MES replyArguments=priv-lvl\=15 port=ssh identitySourceType=LOCAL tacacsUsername=tester1234567 attemptPasswordCount=0 privilegeLvl=1 remoteAddress=100.125.0.64 authenticationStatus=FOUND status=PASS
TACACS_AUTHORIZATION_ACCESS_FAILED	100	Пользователь не прошел авторизацию доступа	INFO	Сервис Tacacs	User '${tacacsUsername}' failed authorization via TACACS.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|100\|TACACS_AUTHORIZATION_ACCESS_FAILED\|6\|msg=User 'tester1234567' failed authorization via TACACS. dpt=49 proto=TACACS event_log_level=INFO start=1760346139711packetType=AUTHORIZATION profileName=Maximum privilege deviceIp=100.127.0.119 requestArguments=service\=shell,cmd* authorizationPolicyName=Default failReason=Command not defined in command set attempt creationTime=1760346139706policySetName=New Policy Set 1 authenticationPolicyName=Default attemptUserCount=0 authenMethod=TacacsPlus identitySourceName=Internal DB deviceName=100.127.0.119deviceProfile=Eltex MES replyArguments=priv-lvl\=15 port=ssh tacacsUsername=tester1234567 attemptPasswordCount=0 privilegeLvl=1 remoteAddress=100.125.0.64 authenticationStatus=FAIL
TACACS_AUTHORIZATION_CMD_SUCCESS	101	Пользователь авторизован для выполнения команды	INFO	Сервис Tacacs	User '${tacacsUsername}' authorized to execute command '${tacacsCommand}'	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|101\|TACACS_AUTHORIZATION_CMD_SUCCESS\|8\|src=100.125.0.64 suser=tester1234567 msg=User 'tester1234567' authorized to execute command 'end'.dst=100.127.0.119 dst_host=ubuntu22 dpt=49 proto=TACACS event_log_level=INFO start=1760357071677 deviceIp=100.127.0.119 requestArguments=service\=shell,cmd\=end,cmd-arg\=<cr> authorizationPolicyName=Default creationTime=1760357071677 authenticationPolicyName=Default attemptUserCount=0 authenMethod=None identitySourceName=Internal DBdeviceName=100.127.0.119 commandSetName=Show only deviceProfile=Eltex MES tacacsUsername=tester1234567 PasswordCount=0 privilegeLvl=15 remoteAddress=100.125.0.64 authenticationStatus=FOUND tacacsCommand=end packetType=AUTHORIZATION policySetName=New Policy Set 1 port=ssh identitySourceType=LOCAL status=PASS
TACACS_AUTHORIZATION_CMD_FAILED	102	Пользователь не авторизован для выполнения команды	INFO	Сервис Tacacs	User '${tacacsUsername}' failed authorization to execute command '${tacacsCommand}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|102\|TACACS_AUTHORIZATION_CMD_FAILED\|8\|src=100.125.0.64 suser=tester1234567 msg=User 'tester1234567' failed authorization to execute command 'end'.dst=100.127.0.119 dst_host=ubuntu22 dpt=49 proto=TACACS event_log_level=INFO start=1760357071677 deviceIp=100.127.0.119 requestArguments=service\=shell,cmd\=end,cmd-arg\=<cr> authorizationPolicyName=Default creationTime=1760357071677 authenticationPolicyName=Default attemptUserCount=0 authenMethod=None identitySourceName=Internal DBdeviceName=100.127.0.119 commandSetName=Show only deviceProfile=Eltex MES tacacsUsername=tester1234567 failReason=Command not defined in command set attempt PasswordCount=0privilegeLvl=15 remoteAddress=100.125.0.64 authenticationStatus=FOUND tacacsCommand=end packetType=AUTHORIZATION policySetName=New Policy Set 1 port=ssh identitySourceType=LOCAL status=FAIL

Accounting

Возможные поля в событиях:

profileName - имя профиля под который попал администратор
deviceIp - адрес устройство на котором пользователь выполняет команду
requestArguments - аргументы выполняемой команды
authorizationPolicyName - политика авторизаций, под которую попал администратор
creationTime - время создания записи
authenticationPolicyName - политика аутентификации под которую попал администратор
identitySourceName - имя источника аутентификации
commandSetName - имя набора команд
deviceProfile - профиль устройства на котором пользователь выполняет команду
tacacsUsername - логин администратора
attemptUserCount - количество попыток запроса логина
attemptPasswordCount - количество попыток запроса пароля
privilegeLvl - уровень привелегии
remoteAddress - адрес устройства с которого администратор настраивает сетевое устройство
authenMethod - метод аутентификации
failReason - описание ошибки
acctEventType - тип события аккаунтинга: LOGIN/COMMAND/LOGOUT

Name	Device Event Class ID	Описание	Уровень	Источник	Шаблон сообщения	Поля	Пример события (CEF)
TACACS_ACCOUNTING_LOGIN	109	Пользователь успешно прошел авторизацию доступа	INFO	Сервис Tacacs	User '${tacacsUsername}' login.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|109\|TACACS_ACCOUNTING_LOGIN\|6\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' login. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583822 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=INFO packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_ACCOUNTING_LOGOUT	110	Пользователь не прошел авторизацию доступа	INFO	Сервис Tacacs	User '${tacacsUsername}' logout.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|110\|TACACS_ACCOUNTING_LOGOUT\|6\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' logout. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583823 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=INFO packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_ACCOUNTING_CMD	111	Пользователь авторизован для выполнения команды	INFO	Сервис Tacacs	User '${tacacsUsername}' execute command '${tacacsCommand}'.	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|111\|TACACS_ACCOUNTING_CMD\|6\|src=10.0.0.2 suser=test-user-1 msg=User 'tacacs-user-1' execute command 'show running-config'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583823 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=INFO packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins
TACACS_ACCOUNTING_UNKNOWN	112	Пользователь не авторизован для выполнения команды	INFO	Сервис Tacacs	Unknown accounting event for user ${tacacsUsername}'	Указаны над таблицей.	Nov 05 11:23:03 naice-test-host CEF:1\|Eltex\|NAICE\|1.0.0\|112\|TACACS_ACCOUNTING_UNKNOWN\|8\|src=10.0.0.2 suser=test-user-1 msg=Unknown accounting event for user tacacs-user-1'. dst=192.168.10.1 dst_host=naice-destination-host-1 dpt=49 proto=TACACS event_log_level=INFO start=1762316583823 profileName=Profile-1 deviceIp=192.168.10.1 requestArguments=arg2\=val2 authorizationPolicyName=Default Authorize Policy acctEventType=LOGIN creationTime=1762316583682 authenticationPolicyName=Default Auth Policy attemptUserCount=1 authenMethod=TACACS identitySourceName=msad.eltex.loc deviceName=Device-1 commandSetName=Default Command Set deviceProfile=Eltex ESR authenProtocol=SSH hostname=naice-production-server tacacsUsername=tacacs-user-1 failReason=N/A attemptPasswordCount=0 privilegeLvl=15 remoteAddress=10.0.0.1 authenticationStatus=INFO packetType=AUTHEN deviceType=Router tacacsCommand=show running-config policySetName=Default Policy Set authenService=LOGIN userInternalGroups=admins