11.10. fraudwall_dbolog. Получение журнала событий системы ДБО

Помимо анализа реквизитов платежей, FraudWall дополнительно анализирует сопутствующую информацию о сессии клиента, в которой был создан данный платеж. При анализе платежа FraudWall автоматически связывает платеж с сессией клиента, тем самым позволяя сопоставить платеж с IP адресом и аппаратными идентификаторами устройства, с которого клиент работал в ДБО.

Эту информацию FraudWall может получить при анализе дампа трафика либо из базы данных посредством fraudwall_dbolog.

fraudwall_dbolog по сути представляет собой журнал событий действий клиентов в ДБО и содержит в себе следующую информацию:

Примечание

fraudwall_dbolog является опциональной (т.е. может отсутствовать) и создается только в той базе данных, из которой получен платеж для анализа.

11.10.1. Описание полей структуры fraudwall_dbolog

Таблица 27. Перечень полей fraudwall_dbolog

Поле Тип данных Описание
time_when ДАТА ВРЕМЯ

Время события

from_id текст или число Идентификатор клиента в анализируемой системе, которому принадлежит событие, или пустая строка, если это событие не относится к какому-либо клиенту.
corpid текст

Текст логина юридического лица. Если не известен, то можно всегда возвращать пустую строку.

Примечание

Понятие «логин юридического лица» применимо только к некоторым системам ДБО, где логин пользователя может быть одинаковым у разных юридических лиц. Например, у юридических лиц с разными логинами «CORP1» и «CORP2» могут быть пользователи с одинаковым логином «DIRECTOR»

userid текст

Текст логина пользователя. Если не известен, то можно всегда возвращать пустую строку.

ip текст

IP адрес компьютера клиента банка в сети Интернет, с которого произошло событие. Если неизвестно, можно возвращать пустую строку

device текст

строка, содержащая информацию об идентификаторах устройства клиента, с которого была работа с документом (например, перечень обнаруженных MAC-адресов, IMEI и т.д.). Если неизвестно, можно возвращать пустую строку.

Наименование идентификаторов: mac - MAC-адрес сетевой карты, appid - уникальный ID моб. приложения на моб. устройстве, serial-number - уникальный серийный номер моб. аппарата, imei - IMEI-номер моб. устройства, imsi - IMSI-номер SIM-карты, iccid - уникальный идентификационный номер SIM-карты в международном формате. Если у Вашей системы ДБО есть также свой цифровой отпечаток устройства клиента, необходимо сообщить об этом нам, м.б. выделено уникальное наименование идентификатора

Примечание

Пример такой строки:

mac="00:11:22:33:44:55" mac="00:11:22:33:44:66" imei="123456789012345"

sid текст

Идентификатор сессии на стороне сервера банка (соответствует полю sid VIEW fraudwall_doc). Если не известен, то можно всегда возвращать пустую строку.

dbotype текст

Код системы ДБО (присваивается по согласованию с разработчиком FraudWall)

event_code текст

Краткий код события, который фиксируется системой ДБО (например, "LOGIN", "LOGOUT", "AUTHFAIL", "CREATE_LOGON_OTP", "RESET_PASSWORD", "FORCED_LOGOUT", "CHANGE_PHONE", "DISABLE_NOTICE", "CHANGE_PASSWORD", "ABNORMAL_TRANSITION", "NO_MONEY_DECLINE", "CLOSE_DEPOSIT", "OPEN_CREDIT", "CHANGE_THRESHOLD", "LOCK_USER", "UNLOCK_USER")). Если нет, можно возвращать пустую строку

event_text текст Детальный текст события, который может также содержать информацию об идентификаторах устройства клиента, с которого было инициировано данное событие (может содержать User-Agent (с префиксом "user-agent=" или "user-agent:")). Если в event_code фиксируется событие "LOGIN", то при наличии возможности в данном поле лучше фиксировать способ аутентификации: "BIOAUTH" или "PINAUTH"

11.10.2. Получение новых событий работы клиента

Назначение:

Данный запрос получает перечень событий, происходивших в системе ДБО с заданного момента времени

Когда выполняется запрос:

Периодически (примерно 1 раз в 1 секунду).

Входные параметры для запроса:

time_when >= максимальное время последней записи, полученное в предыдущем запросе

При первом запуске процесса запрашиваются события, которые произошли не ранее, чем 14 суток от текущего времени. Но в дальнейшем запрашиваются только события, которые происходили за последние 1-2 секунды.

Примечание

Если FraudWall получает информацию из анализируемой системы через VIEW fraudwall_dbolog в базе Microsoft SQL Server, в SELECT также добавляется WITH(NOLOCK), исключая тем самым блокировку таблиц анализируемой системы.

Результат выполнения запроса:

Возвращает одну или массив структур fraudwall_dbolog, соответствующих запрашиваемым критериям, отсортированный по возрастанию time_when