Контроль доступа к базе 1С:Предприятие — критически важная задача для безопасности бизнеса. Несанкционированные входы, подозрительная активность в нерабочее время или попытки доступа к закрытым разделам могут сигнализировать о внутренних угрозах или ошибках в настройках прав. Но как именно отследить, кто и когда заходил в систему?

В этой статье вы найдете практические методы проверки истории входов — от стандартных инструментов платформы 1С 8.3 до скрытых возможностей конфигураций. Мы разберём, где хранятся логи, как их правильно читать и что делать, если журнал регистрации отключён или очищен. Особое внимание уделим юридическим нюансам: можно ли использовать эти данные для дисциплинарных взысканий или судебных разбирательств.

Спойлер: даже если вы не администратор, часть информации доступна через Отчёты → Журнал регистрации. Но для глубокого анализа потребуются права доступа к серверу или техническая поддержка.

═══

1. Стандартный способ: Журнал регистрации в 1С

Самый очевидный и доступный инструмент — встроенный журнал регистрации. Он фиксирует не только входы/выходы, но и ключевые действия пользователей (изменение документов, запуск отчётов и т.д.). Чтобы его открыть:

Перейдите в главное меню и выберите: Все функции → Стандартные → Журнал регистрации

или (в зависимости от конфигурации):

Администрирование → Журналы → Журнал регистрации

По умолчанию журнал показывает события за текущий день. Чтобы увидеть историю за другой период:

  1. Нажмите кнопку "Настройка" (шестерёнка в верхнем меню).
  2. В поле "Период" укажите диапазон дат.
  3. В фильтре "Событие" выберите Начало работы системы и Окончание работы системы.
  4. Нажмите "Сформировать".
💡

Если журнал пуст или показывает только текущий день, проверьте настройки хранения логов в Администрирование → Настройки программы → Журналы регистрации. Возможно, включено автоматическое очищение старых записей.

В результатах вы увидите таблицу с колонками:

  • 👤 Пользователь — имя учётной записи.
  • 📅 Дата/Время — точный момент входа или выхода.
  • 💻 Компьютер — имя рабочей станции (если настроено).
  • 📝 Событие — "Начало работы" или "Окончание работы".
⚠️ Внимание: Журнал регистрации может быть отключён администратором для экономии места на диске. В этом случае данные о входах не сохраняются.

2. Глубокий анализ: Логи платформы 1С

Если журнал регистрации очищен или отключён, остаются технические логи платформы. Они хранятся в файлах на сервере или локальном компьютере и содержат подробную информацию о сеансах работы, включая IP-адреса и ошибки подключения.

Путь к логам зависит от режима работы:

  • 🖥️ Файловый вариант (однопользовательский): 
    C:\Users\Пользователь\AppData\Roaming\1C\1Cv8\logs\

    Ищите файлы с именем 1Cv8.log и 1Cv8_YYYYMMDD.log.

  • 🌐 Клиент-серверный вариант:

    На сервере 1С:Предприятия логи хранятся в:

    C:\Program Files\1cv8\srvinfo\reg_1541\

    (где 1541 — номер кластера).

Чтобы прочитать логи:

  1. Откройте файл в любом текстовом редакторе (например, Notepad++).
  2. Используйте поиск по ключевым словам: INFO: RAS: User — вход пользователя, INFO: RAS: Disconnect — выход.
  3. Для удобства отфильтруйте записи по дате (формат: YYYY-MM-DD hh:mm:ss).
Тип лога Пример записи Что означает
Вход пользователя INFO: RAS: User 'Иванов' (ID:123) connected from 192.168.1.10 Пользователь Иванов вошёл с IP 192.168.1.10.
Выход пользователя INFO: RAS: User 'Иванов' (ID:123) disconnected (session time: 00:45:22) Сеанс длился 45 минут 22 секунды.
Ошибка подключения ERROR: RAS: Authentication failed for user 'Petrov' (wrong password) Неудачная попытка входа с неверным паролем.
⚠️ Внимание: Логи платформы могут занимать десятки гигабайт. Перед анализом скопируйте нужные файлы в отдельную папку, чтобы не нагружать систему.
📊 Как часто вы проверяете логи активности в 1С?
Еженедельно
Раз в месяц
Только при инцидентах
Никогда

3. Специализированные отчёты для бухгалтеров и кадровиков

В некоторых конфигурациях (например, 1С:Зарплата и Управление Персоналом или 1С:ERP) есть встроенные отчёты по активности пользователей. Они удобнее стандартного журнала, так как позволяют фильтровать данные по отделам, ролям или конкретным документам.

Где искать:

  • 📊 1С:ЗУП: Кадры → Отчёты → Активность пользователей
  • 📦 1С:ERP: Администрирование → Мониторинг → Журнал действий пользователей
  • 💰 1С:Бухгалтерия: Отчёты → Журналы → Журнал регистрации (расширенный)

Пример отчёта в 1С:ERP может включать:

  • 🔍 Время входа/выхода с точностью до секунды.
  • 📂 Изменённые документы (ссылки на конкретные записи).
  • 🖱️ Действия (просмотр, редактирование, удаление).
  • 📡 IP-адрес и имя компьютера.

Период анализа (неделя/месяц)

Фильтр по конкретному пользователю

Только критичные действия (удаление, изменение прав)

Сравнение с графиком работы сотрудника-->

В конфигурациях на управляемых формах (например, 1С:Бухгалтерия 3.0) журнал регистрации может скрывать IP-адреса по умолчанию. Чтобы их увидеть, потребуется доработка конфигурации или доступ к логам сервера.

4. Настройка аудита: как включить расширенное логирование

Если в вашей базе не ведётся журнал регистрации, его можно включить или расширить через настройки платформы. Для этого:

Шаг 1: Откройте конфигуратор (1С:Предприятие → Конфигуратор).

Шаг 2: Перейдите в Администрирование → Журналы регистрации.

Шаг 3: Настройте параметры:

  • 📅 Период хранения — рекомендуется не менее 30 дней.
  • 📝 События для регистрации — отметьте галочками: Начало работы системы, Окончание работы системы, Ошибки доступа.
  • 💾 Хранилище — выберите Файл на диске или База данных.

Для клиент-серверного варианта дополнительно настройте логирование на сервере:

  1. Откройте Консоль администрирования сервера 1С (1C:Предприятие 8.3 → Администрирование сервера).
  2. Выберите кластер → "Настройки""Журналы".
  3. Установите уровень детализации не ниже Информация.
⚠️ Внимание: Чрезмерное логирование (уровень Отладка) может замедлить работу сервера. Используйте его только для расследования инцидентов.

5. Альтернативные методы: внешние инструменты и скрипты

Если стандартные средства не дают нужной информации, можно использовать внешние решения:

1. Анализ сетевого трафика

С помощью Wireshark или Microsoft Message Analyzer можно отследить подключения к серверу по протоколу TCP/IP. Ищите пакеты с портом 1540-1541 (по умолчанию для 1С:Предприятия).

2. Скрипты на языке 1С

Для автоматизации сбора данных напишите обработку, которая будет экспортировать журнал регистрации в Excel: 

Процедура ВыгрузитьЖурналВExcel()

Таблица = Новый ТаблицаЗначений;


Таблица.Колонки.Добавить("Пользователь");


Таблица.Колонки.Добавить("ДатаВремя");


Таблица.Колонки.Добавить("Событие");



Журнал = ЖурналыРегистрации.СоздатьМенеджерВыбора();


Журнал.Период = НачалоДня(ТекущаяДата()) - 30; // Последние 30 дней


Выборка = Журнал.Выбрать();



Пока Выборка.Следующий() Цикл


Строка = Таблица.Добавить();


Строка.Пользователь = Выборка.Пользователь;


Строка.ДатаВремя = Выборка.ДатаВремя;


Строка.Событие = Выборка.Событие;


КонецЦикла;



Excel = Новый ExcelОбъект;


Excel.Видимость = Истина;


Excel.Книги.Добавить();


Лист = Excel.ActiveSheet;


Лист.ListObjects.Add(1).DataBodyRange.Value = Таблица.Выгрузить();


КонецПроцедуры

3. Сторонние программы

Продукты вроде 1C:Аудит или Infostart Event Log предлагают расширенные отчёты с визуализацией активности, оповещениями о подозрительных действиях и интеграцией с SIEM-системами.

Как обойти ограничения прав при просмотре логов?

Если у вас нет прав на просмотр журнала регистрации, но вы подозреваете несанкционированный доступ, обратитесь к администратору с официальным запросом. Самостоятельные попытки получить доступ к логам через обход прав (например, через прямые запросы к базе) могут быть расценены как нарушение трудового договора или даже уголовное преступление (ст. 272 УК РФ — "Неправомерный доступ к компьютерной информации").

6. Юридические аспекты: можно ли использовать данные о входах?

Согласно Трудовому кодексу РФ (ст. 87), работодатель имеет право контролировать использование рабочих инструментов, включая . Однако есть нюансы:

  • 📜 Уведомление сотрудников: Работники должны быть проинформированы о ведении журналов активности (обычно это прописано в Положении о коммерческой тайне или Договоре о материальной ответственности).
  • 🔒 Конфиденциальность: Данные о входах относятся к персональным данным (ФЗ-152). Их хранение и обработка должны соответствовать политике компании.
  • ⚖️ Использование в суде: Журналы могут служить доказательством в спорах (например, при хищении данных), но требуется нотариальное заверение скриншотов или экспорт отчётов.

Пример из практики:

В 2022 году Арбитражный суд Москвы удовлетворил иск компании к бывшему сотруднику, предоставившему доступ к третьим лицам. Доказательной базой стали логи платформы, где зафиксированы входы с нерабочих IP-адресов в ночное время.

Экспорт журналов для судебных разбирательств должен проводиться в присутствии нотариуса или с использованием электронной подписи, иначе данные могут быть признаны недопустимыми доказательствами.

7. Типичные ошибки и как их избежать

При анализе активности пользователей администраторы часто сталкиваются с следующими проблемами:

  • Слишком короткий период хранения логов:

    По умолчанию журнал регистрации может хранить данные всего 7 дней. Установите период не менее 30 дней.

  • 🔄 Путаница во временных зонах:

    Если сервер и рабочие станции находятся в разных часовых поясах, время входа может сбиваться. Синхронизируйте время через NTP-сервер.

  • 👥 Общие учётные записи:

    Когда несколько человек используют один логин (например, бухгалтерия), невозможно определить, кто именно выполнял действия. Настройте персональные учётки для каждого сотрудника.

  • 🛡️ Отсутствие резервных копий логов:

    При сбое сервера журналы могут быть утеряны. Автоматизируйте их архивацию (например, через Плановое задание в ).

💡

Регулярно проверяйте настройки логирования после обновлений 1С — некоторые релизы сбрасывают параметры журнала регистрации к значениям по умолчанию.

Чтобы избежать потери данных:

  1. Настройте еженедельную архивацию логов в отдельную папку.
  2. Используйте скрипты для оповещений о подозрительной активности (например, вход в нерабочее время).
  3. Периодически тестируйте восстановление логов из бэкапа.

═══ FAQ ═══

Можно ли увидеть, какие именно документы открывал пользователь?

Да, если в журнале регистрации включено логирование событий Чтение данных и Изменение данных. В отчёте будут указаны ссылки на конкретные документы (например, Документ.ПоступлениеТоваров.00000123 от 15.05.2026).

В конфигурациях на управляемых формах (например, 1С:Бухгалтерия 3.0) для этого может потребоваться доработка.

Как узнать, с какого компьютера заходили в 1С, если в журнале не отображается IP?

Если журнал регистрации не показывает IP-адреса, проверьте:

  1. Логи платформы на сервере (путь указан в разделе 2).
  2. Настройки сетевого экрана или прокси-сервера (если подключение идёт через них).
  3. В клиент-серверном варианте — таблицу v8users в базе данных PostgreSQL/MS SQL (поле host).

Если работает через терминальный сервер (RDP), в журналах будет отображаться IP терминального сервера, а не конечного пользователя.

Что делать, если журнал регистрации пустой или отключён?

Возможные причины и решения:

  • 🔧 Настройки платформы: Включите журнал в конфигураторе (Администрирование → Журналы регистрации).
  • 🗑️ Автоочистка: Проверьте, не настроено ли автоматическое удаление старых записей.
  • 🛠️ Права доступа: Убедитесь, что ваша учётная запись имеет роль Администратор или Полные права.
  • 💽 Файловый режим: В однопользовательской базе журнал может не вестись. Перейдите на клиент-серверный вариант.

Если журнал был отключён долгое время, восстановить историю входов можно только через логи операционной системы (Event Viewer в Windows) или сетевое оборудование (маршрутизаторы, фаерволы).

Можно ли отследить входы в 1С через веб-клиент или мобильное приложение?

Да, но с нюансами:

  • 🌐 Веб-клиент: Входа фиксируются в журналах веб-сервера (IIS или Apache) и в логах (ищите записи с WebClient).
  • 📱 Мобильное приложение: Данные о сеансах хранятся на сервере 1С:Предприятия в таблице MobileAppSessions (для конфигураций с поддержкой мобильных клиентов).

Для анализа потребуется доступ к серверу или помощь администратора.

Как заблокировать пользователя, если обнаружен подозрительный вход?

Инструкция для администратора:

  1. Откройте Администрирование → Пользователи.
  2. Выберите учётную запись и снимите галочку Разрешить вход.
  3. Для полной блокировки измените пароль на случайный и сохраните изменения.
  4. Проверьте активные сеансы в Администрирование → Активные пользователи и принудительно завершите их.

Если пользователь вошёл через терминальный сервер, заблокируйте его учётку также в Active Directory или Windows.