Имеется сервер 1С, логи всех баз в новом формате, SQLite format 3.

Менеджер по ИБ хочет натравить стороннее ПО для чтения этих файлов.

Не будет ли проблемы со стороны 1С с записью в эти файлы, когда будет к файлу висеть постоянные коннект на чтение из этого файла?

Например, в варианте, когда служба 1С рестартована, при запуске базы со стороны 1С идёт коннект к файлу логов на запись, а там висит подключение на чтение.
Не будет ли отвала со стороны 1С ?

Может и быть.
Хотя, файловая 1с ведь как-то справляется.
Так что ответ 50/50. Имеет смысл взять и проверить на тестовом стендеде.
Только зачем вся эта фигня нужна?

(0) Пускай, натравит. Ты главное на берегу всех оповести, что манагер (продавец) по ИБ, ответственен за тормоза, зависания и другие коллизии с 1С :)

(1) ИБ-шнику для SIEM зачем-то надо в автоматическом режиме мониторить логи 1С.

Мне эта идея вообще не нравится, т.к. такой доступ может разрушить файл логов, а там логи лежат за несколько лет и не известно, бэкапит их админ или нет.

Оставлю тут... про слово Менеджер... Я там про ИТ и менеджер не нахожу :)
https://dic.academic.ru/dic.nsf/lower/16093

(4) Это не важно как он называется. Пусть будет "информационный безопасник" :).

(3) Так и скажи ему. Что его затея череповата нарушением работы ИБ. И пусть он подписывает бумагу о принятии на себя полной ответственности. Заодно и свои косяки сможешь под эту бумагу подводить ))))

Начнём с того, что сама 1С рекомендует перевести базы на старый (текстовый) формат ЖР.
Эксперимент с SQLite признан провалившимся. В том числе (или в первую очередь?) по причинам жутких тормозов при параллельном чтении и записи.
Если база работает не 24/7, то можно рассмотреть вариант мониторинга не самого журнала, а его копии. Выгрузили ночью копию журнала - и пусть себе всё что хочет с ним делает.

(7) Пруф?
вот этого "1С рекомендует перевести базы на старый (текстовый) формат ЖР. Эксперимент с SQLite признан провалившимся"

(4) Плохо искал. Слова "организатор", "управленец", "администратор" там есть.
Человек, отвечающий за организацию и управление ИТ-безопасности на предприятии, вполне может называться менеджером.

(8) Пруф дают на подготовке к эксперту.
+ На ИТС есть статья в которой явно написано что предпочитаемый формат - текстовый.
+ По умолчанию вернули текстовый формат.

(10) >По умолчанию вернули текстовый формат.
Я такого не заметил при создании новых баз.
Начиная с какого релиза платформы?

С 8.3.12 вроде

gilev.ru/oldjr

(9)  Менеджер, не русское слово, враждебное оно... и его употребляют везде где не поподя, так же как слово "Блокчейн" :)

Официаьный пруф
https://its.1c.eu/db/v8315doc#bookmark:adm:TI000000720
См пункт 6.13.1. Общая информация

(8) Начиная с версии 8.3.12
В документации на платформу:

В зависимости от версии системы «1С:Предприятия», по умолчанию используются различные форматы журналов:
● В «1С:Предприятии» версии 8.3.12 и старше по умолчанию используется последовательный формат.
● В «1С:Предприятии» версий 8.3.5 ‑ 8.3.11 по умолчанию используется формат SQLite.
● В «1С:Предприятии» версии 8.3.4 и младше может быть использован только последовательный формат журнала регистрации.

Выдержка:
В зависимости от версии системы «1С:Предприятия», по умолчанию используются различные форматы журналов:

● В «1С:Предприятии» версии 8.3.12 и старше по умолчанию используется последовательный формат.

● В «1С:Предприятии» версий 8.3.5 ‑ 8.3.11 по умолчанию используется формат SQLite.

● В «1С:Предприятии» версии 8.3.4 и младше может быть использован только последовательный формат журнала регистрации.

Про ограничения и тормоза выборок из ЖР:
https://its.1c.ru/db/v8312doc#bookmark:dev:TI000000829

Необходимо понимать, что получение записей журнала регистрации может занимать существенное время. Это особенно важно понимать, если получаются записи за большой период или с каким-либо отбором. В файловом варианте работы система никак не ограничивает количество сеансов, которые получают данные из журнала регистрации. В клиент-серверном режиме работы такие ограничения существуют:
● не более 4 одновременных запроса данных из журнала регистрации на одну информационную базу;
● если используется разделенная информационная база, то вводится дополнительное ограничение в 1 сеанс получения данных журнала регистрации на одну область данных.

(15) Не знал. Спасибо за пруф.

(11) >> Я такого не заметил.

Интересно. Хоть кто-нибудь читает файл V8Update.htm перед обновление платформы?... Ну хотя бы по диагонали.

(20) Просто последний раз с нуля базу создавал на 8.3.10 :)

Так, а если я переведу формат журнала регистрации в последовательный (текстовый) формат, то проблем не будет:
- и сервер 1С будет туда дописывать данные
- и стороннее ПО будет одновременно считывать данные
?

(22) Проблем не будет с учетом ограничения:

В клиент-серверном режиме работы такие ограничения существуют:
● не более 4 одновременных запроса данных из журнала регистрации на одну информационную базу;
● если используется разделенная информационная база, то вводится дополнительное ограничение в 1 сеанс получения данных журнала регистрации на одну область данных.

Если у вас разделенная ИБ, то вы в пролёте.
Если обычная, то, наверное, впишитесь в 4 сеанса.

+ к (23) Хотя в любом случае надо пробовать. Я бы лично любыми способами отбрыкивался от такого счастья.

Установить текстовый формат ЖР и настройить разделение хранения журнала по периодам "День" (чтобы на каждый день был отдельный файлик).
И пусть безопасник анализирует вчерашние логи, которые складывать ему ежедневно bat-ником в нужное ему место.

(23) а эти 4 включают "стороннее ПО" из (0)?

(25) А Х его З. Пробовать надо.
Это вопрос со звёздочкой к экспертам по платформе.

(15) Там слово "По умолчанию", и 1С не врет, по умолчанию текстовый файл. Но можно переключиться :)

(7) +100500. У нас сверх того сделали еженедельное обрезание ЖР + парсинг отрезка и загрузку его в СУБД (индексы и всякие там формы для поиска в наличии).

(7)
Ну надо же, свершилось. О чем я сразу говорил, до них наконец-то дошло. Запись в лог должна быть "резкой, как удар серпом по яйцам" (с), и ничего лучше, чем дописать кусок к простом файлу - не придумать. А врачам потом если надо - пущай анализы смотрят.