Защита файлов инцидентов от удаления

Система автоматически защищает от удаления события и файлы, связанные c открытыми инцидентами. Функциональность позволяет сохранить данные, которые могут понадобиться для расследований.

Примечание

Система защишает от удаления только данные открытых инцидентов. Данные закрытых инцидентов можно удалить.

Если администратор попытается удалить такое событие или файл, появится сообщение: «Событие связано с инцидентом N XXXX, удаление невозможно. Удалите инцидент или отключите защиту в настройках».

Как включить защиту

По умолчанию защита от удаления включена.

Чтобы отключить защиту, добавьте строку в файл /etc/staffcop/config:

PROTECT_EVENTS_WITH_INCIDENTS = False

От каких действий защищает

Защита блокирует удаление событий и файлов в случаях:

• удаление месячного шарда в базе данных;

• ручное удаление события в веб-консоли;

• автоочистка событий по политике;

• автоочистка файлов по политике;

• удалении объекта и всех данных компьютера и пользователя;

• удаление событий и файлов командой staffcop cleandata;

• удаление событий и файлов командой staffcop cleanup.

Как удалить файл или событие

Чтобы удалить событие или файл:

• закройте инцидент,

• удалите инцидент,

• отключите защиту через файл config.