Необходимость проследить действия пользователей в информационной системе возникает у администраторов и руководителей довольно часто. Это может быть связано с выявлением причин ошибок в учете, проверкой дисциплины сотрудников или расследованием инцидентов утечки данных. В программных продуктах 1С:Предприятие механизм фиксации таких событий реализован, но его работа не всегда включена по умолчанию или требует правильной интерпретации полученных логов.
Существует несколько уровней контроля: от стандартного Журнала регистрации, который доступен всем администраторам, до глубокого аудита на уровне базы данных SQL. Выбор конкретного метода зависит от версии платформы, конфигурации (например, 1С:Бухгалтерия или 1С:Управление торговлей) и того, насколько детально нужно отследить факт открытия файла. Важно понимать разницу между открытием формы документа и его непосредственным проведением или изменением.
В этой статье мы разберем основные способы получения информации о том, кто и когда заходил в конкретные документы. Мы рассмотрим настройки прав доступа, параметры ведения журнала и специализированные отчеты. Правильная настройка системы логирования позволит вам иметь полную картину происходящего в базе без необходимости установки стороннего ПО.
Настройка Журнала регистрации событий
Основным инструментом для отслеживания действий пользователей является встроенный механизм Журнала регистрации. По умолчанию в некоторых конфигурациях он может вести запись только критических ошибок или входить в систему, игнорируя открытие конкретных документов. Для полноценного аудита администратор должен явно включить регистрацию нужных событий.
Чтобы активировать запись, необходимо зайти в режим Конфигуратор или в режим Предприятие под пользователем с полными правами. В меню Администрирование выбирается пункт Журнал регистрации. В открывшемся окне следует нажать кнопку Настройка и перейти на вкладку событий.
Здесь нужно найти группу событий, связанных с документами. Обычно это события типа Начало работы с документом или Открытие объекта. Без явной галочки напротив этих пунктов система не будет сохранять информацию о том, что пользователь просто посмотрел на экран документа, даже если он ничего в нем не менял.
⚠️ Внимание: Включение регистрации всех событий подряд (например, каждого движения курсора или чтения каждой строки справочника) может привести к резкому росту размера файла журнала и замедлению работы базы данных. Включайте только необходимые события.
После настройки журнал начинает наполняться записями. Каждая запись содержит время, имя пользователя, тип события и ссылку на объект. Для анализа этих данных существуют специальные отчеты, которые позволяют отфильтровать миллионы строк и найти нужного пользователя.
Для оптимизации работы базы данных рекомендуется настроить автоматическую очистку Журнала регистрации, удаляя записи старше 30 или 90 дней, если они не нужны для долгосрочного аудита.
Анализ логов через стандартные отчеты
Просто включить регистрацию недостаточно — нужно уметь читать полученные данные. В типовых конфигурациях, таких как 1С:Бухгалтерия предприятия 3.0 или 1С:ЗУП, существуют готовые отчеты для анализа журнала. Они находятся в разделе Администрирование -> Журнал регистрации или История изменений.
При формировании отчета критически важно правильно установить отбор. Вы можете отфильтровать данные по конкретному пользователю, если подозреваете конкретного сотрудника, или по конкретному документу, если нужно узнать всех, кто его открывал. Поле Событие должно соответствовать тому, что вы настроили на предыдущем этапе.
В таблице результатов вы увидите колонку Пользователь, которая содержит имя учетной записи в 1С. Обратите внимание, что это имя может отличаться от ФИО сотрудника, если в системе используется кодировка или сокращенные названия. Для сопоставления часто требуется заглянуть в справочник пользователей.
- 📅 Дата и время: Точная метка времени с миллисекундами, позволяющая восстановить хронологию событий.
- 👤 Сеанс: Уникальный номер сеанса, который помогает отличить действия одного пользователя в разных окнах.
- 📄 Объект: Ссылка на конкретный документ (например, "Реализация товаров и услуг №45 от 12.05.2026").
Если стандартный отчет не показывает нужных полей, его можно настроить через кнопку Настройки. Добавьте отображение поля Компьютер или IP-адрес, чтобы понять, с какого рабочего места было выполнено действие. Это особенно полезно в больших офисах с множеством терминалов.
Использование технологического журнала (ТЖ)
Когда встроенных средств Журнала регистрации недостаточно или требуется отследить низкоуровневые процессы, на помощь приходит Технологический журнал (ТЖ). Это мощный инструмент отладки, который записывает практически все происходящее в процессе работы сервера 1С или толстого клиента.
Настройка ТЖ производится через файл 1cv8.cfg в каталоге пользователя или через реестр Windows для серверного варианта. Необходимо включить логирование событий, связанных с работой с документами. Обычно это события уровня DBMSSQL (для SQL) или CALL.
<log>
<event>
<nequal property="Name" value="Doc">
<property name="Status" value="Open"/>
</nequal>
</event>
</log>
Файлы технологического журнала представляют собой текстовые логи, которые могут достигать гигабайтных размеров за один день. Для их анализа существуют специальные утилиты, например, 1CLogReader или сторонние скрипты на PowerShell. Прямое чтение таких файлов в блокноте неэффективно.
⚠️ Внимание: Технологический журнал создает огромную нагрузку на дисковую подсистему сервера. Никогда не оставляйте его включенным в режиме полной отладки на рабочей базе в течение длительного времени.
С помощью ТЖ можно узнать не только факт открытия, но и время выполнения запроса к базе данных, которое потребовалось для отображения формы документа. Это помогает выявить не только "кто", но и "почему медленно".
Где хранятся файлы ТЖ?
Файлы технологического журнала по умолчанию пишутся в каталог temp пользователя или в специальную папку на сервере, указанную в параметрах запуска кластера серверов 1С.
Аудит на уровне СУБД (SQL Server, PostgreSQL)
Самый глубокий уровень контроля — это настройка аудита непосредственно в системе управления базами данных (СУБД). Если ваша 1С работает на Microsoft SQL Server или PostgreSQL, вы можете отслеживать выполнение конкретных запросов, которые генерирует платформа при открытии документа.
В SQL Server для этого используется функция SQL Audit или Extended Events. Вы можете создать правило, которое будет фиксировать выполнение хранимых процедур, вызываемых 1С при чтении данных документов. Например, отслеживание выполнения процедуры sp_executesql с параметрами, содержащими ссылку на таблицу документа.
В PostgreSQL аналогом является расширение pg_stat_statements или настройка параметра log_statement в файле postgresql.conf. Однако, включение логирования всех запросов (all) приведет к переполнению диска за считанные часы. Необходимо использовать фильтрацию по имени приложения (обычно оно передается как 1Cv8) и по тексту запроса.
| Параметр | SQL Server | PostgreSQL | Описание |
|---|---|---|---|
| Инструмент | Extended Events | pgAudit / log_statement | Механизм сбора логов |
| Сложность | Средняя | Высокая | Требует знаний SQL |
| Нагрузка | Низкая (при фильтрации) | Средняя/Высокая | Влияние на скорость 1С |
| Детализация | Высокая | Высокая | До уровня текста запроса |
Этот метод позволяет увидеть действия даже в том случае, если пользователь обошел ограничения интерфейса 1С или использовал внешние инструменты доступа к данным. Однако интерпретация сырых SQL-запросов требует высокой квалификации.
Аудит на уровне СУБД дает максимальную детализацию, но требует высокой квалификации администратора баз данных и осторожности при настройке, чтобы не "положить" производительность системы.
Специализированные обработки и внешние системы
Для упрощения задачи существуют готовые решения, разработанные сообществом или фирмой "1С". Например, обработка Аудит безопасности (входит в состав некоторых комплексов или доступна на ИТС) позволяет гибко настраивать правила регистрации без глубокого погружения в код.
Также популярны внешние системы мониторинга, такие как 1С:Отчетность с расширенными модулями или специализированные сервисы вроде 101.ru (для телефонии, но есть аналоги для IT). Они собирают данные в единый центр, строят графики и присылают уведомления на почту при подозрительной активности.
Если вы программист, вы можете внедрить механизм аудита непосредственно в код конфигурации. Используя событие ПриОткрытии формы документа, можно программно записывать факт открытия в специальный регистр сведений. Это дает полную свободу в формате сохраняемых данных.
- 🛡️ Плюс встроенных средств: Не требуют установки дополнительного ПО и лицензий.
- 🚀 Плюс внешних систем: Красивая визуализация, дашборды и уведомления в Telegram.
- 💻 Плюс программного внедрения: Полная кастомизация под нужды бизнеса.
Выбор между этими методами зависит от бюджета и наличия специалистов. Для малого бизнеса часто достаточно стандартного журнала, тогда как крупным холдингам необходимы комплексные системы безопасности.
☑️ Чек-лист настройки аудита
Проблемы идентификации и частые ошибки
На практике администраторы часто сталкиваются с ситуацией, когда в журнале вместо имени пользователя указано Приложение или System. Это происходит, когда действие выполнено фоновым заданием, обменом данными или регламентной операцией, а не живым человеком.
Еще одна распространенная проблема — использование общего пользователя. Если в базе заведены учетные записи типа Operator или User1, которыми пользуются 5 человек по очереди, установить конкретного виновника или наблюдателя будет невозможно. Персональная ответственность в 1С начинается с персональной учетной записи.
Также стоит учитывать кэширование. Иногда открытие документа происходит из кэша клиентского приложения, и запрос к серверу может не формироваться в явном виде, что усложняет отслеживание через SQL-профайлер. В таких случаях надежнее полагаться на журнал регистрации самой платформы 1С.
⚠️ Внимание: Интерфейсы и названия пунктов меню могут отличаться в зависимости от версии платформы (8.2, 8.3, 8.3.20+) и конкретной конфигурации. Всегда сверяйтесь с документацией к вашему релизу.
Регулярный пересмотр прав доступа и чистка устаревших учетных записей — лучшая профилактика проблем с идентификацией. Не допускайте ситуации, когда пароль от учетной записи директора известен всему отделу бухгалтерии.
Можно ли узнать, кто открывал документ задним числом, если журнал не велся?
К сожалению, нет. Если механизм регистрации событий не был включен в момент совершения действия, платформа 1С не сохраняет эту информацию нигде. Восстановить историю постфактум можно только при наличии резервных копий базы данных за предыдущие периоды, но и там данные о сеансах пользователей обычно не хранятся.
Влияет ли включение журнала регистрации на скорость работы 1С?
Минимальное влияние есть, так как системе требуется время на запись каждой операции на диск. Однако при правильной настройке (запись только ключевых событий) это замедление незаметно для пользователей. Критическое падение производительности происходит только при включении подробного технологического журнала или аудита всех SQL-запросов без фильтрации.
Как отличить просмотр документа от его изменения в журнале?
Для этого нужно смотреть на тип события в журнале. Событие "Начало работы с документом" или "Открытие" фиксирует факт просмотра. События "Запись", "Проведение" или "Изменение реквизита" свидетельствуют о модификации данных. В настройках журнала эти события разделяются галочками.
Где хранится файл журнала регистрации в файловом варианте 1С?
В файловом варианте базы данных журнал регистрации хранится в отдельном файле с расширением .lgd (или внутри структуры файлов базы, в зависимости от версии). Путь к нему обычно совпадает с путем к базе данных, но может быть перенастроен в параметрах запуска. Найти точный путь можно через свойства базы в списке запуска 1С.