Кто-то отредактировал документ, хочется понять, хотя бы с какого ПК. В журнале регистрации видно только имя пользователя, тип соединения ("WS-соединение"), номер сеанса (10587), идентификатор транзакции (653010). Можно ли по номеру сеанса или номеру транзакции узнать что-нибудь об устройстве, например, ip, mac-адрес, пользователя ОС?

(0) если на веб-сервере (iis, apache) включено полное логирование, то может быть. иначе NULL.

(0) > тип соединения ("WS-соединение"),

И какие пользователи у вас могут дергать веб-сервисы?

(2) обычно на тсдшках все ходят под 1 юзером 1с

(3) Да, один из вариантов. Ну еще и учесть что айпи и мак будут оставлены в том сегменте сети, в котором было физическое подключение. И даже с полным логгирование иис и апач увидят что-то типа 192.168.1.1, IIS_USR. Так что ледующий вопрос ТС будет "как сделать, чтобы их учесть" =)

Отвечаю заранее - определить эти параметры на клиенте при начале работы системы и записать в журнал регистрации. Как определить - гугл подскажет, но код он тоже писать не будет.

(0) Можно, находишь в Журнале номер сессии, и по номеру определяешь залогиневшегося горемыку в этот день.

(4) Получается ВЭБ не совсем безопасен с открытым входом из вне (интернета)

(5) > залогиневшегося горемыку
А прикинь, они все под одним пользователем 1С ходят? =)

(6) А ты думаешь вот эти вот пляски с сессиями, куками, авторизацией по сертификату, они зря придуманы?