Registros de autenticación
Si lo desea, puede acceder a los registros de actividad del sistema que involucran el inicio y el cierre de sesión. Los eventos de seguridad de alto nivel se registran con el fin de realizar auditorías. Los tipos de eventos de seguridad abarcan las actividades de alto riesgo y permiten rastrear e identificar la fuente del evento mediante el análisis de la dirección de Internet de origen registrada, la sesión de origen, el ID de usuario y la hora del evento.
En las implementaciones de SaaS, los registros de autenticación se conservan durante 10 días.
Las entradas de registro se basan en los estándares del sector para la identificación y la descripción de eventos de seguridad que pueden ser el resultado de ataques al sistema, lo cual las hace adecuadas para importar o utilizar herramientas de terceros con el fin de generar informes de análisis forenses. Además, estos registros permiten identificar eventos específicos, ya que se pueden ver en ellos de forma inmediata.
La página Registros de autenticación incluye un potente filtro de búsqueda, un área de Resumen del registro en la que se mencionan los eventos, y el panel Detalles del mensaje en la parte inferior de la página en donde se muestran los detalles de cada evento, como la clase y el tipo del controlador, el agente de usuario y los mensajes de registro, entre otros.
El proveedor de autenticación heredado no genera ningún mensaje de registro. Por lo tanto, el filtro de búsqueda del proveedor heredado está deshabilitado.
Hay dos maneras de acceder a la página Registros de autenticación:
- En la sección Integraciones del Panel del administrador, seleccione Autenticación. Haga clic en Ver registros de autenticación.
- En el Panel del administrador, en la sección Herramientas y utilidades, seleccione Registros. Seleccione la opción Registros de autenticación.
Página Registros de autenticación
El registro muestra todos los eventos de autenticación, incluido el tipo de evento, el nombre de usuario, la dirección IP, la fecha y el proveedor involucrado. Seleccione una entrada en la tabla del registro para mostrar más información en la ventana Detalles del mensaje.
- El filtro de búsqueda le permite buscar una actividad específica y filtrar por usuario, proveedor de autenticación, tipo de evento y fecha.
- Actualice la pantalla para que se muestren las entradas del registro más recientes que coincidan con el filtro seleccionado.
- La opción Borrar recuentos borra los indicadores de recuento de mensajes de la sección Resumen de registro para ayudar en la resolución de problemas.
- La opción Borrar registro elimina todas las entradas del registro y borra los indicadores de recuento de mensajes de la sección Resumen de registro.
- El panel Detalle del mensaje le permite revisar los detalles de un evento, como la clase y el tipo del controlador, el agente del usuario y el mensaje del registro, entre otros. Haga clic en un evento de la sección Resumen del registro para mostrar el detalle del mensaje para dicho evento.
Con los proveedores de autenticación del tipo REDIRECT, como CAS o Shibboleth, es posible que no se registren algunos eventos de autenticación, ya que ocurren en el servidor de origen de autenticación.
Tipos de evento
El registro muestra cinco eventos:
- Inicios de sesión
- Cierres de sesión: la información adicional muestra si el cierre de sesión fue manual o debido a la expiración de la sesión.
- Intentos de inicio de sesión
- Mensajes
- Errores
Ejemplo de entradas de registro según distintas situaciones
La ventana Detalles del mensaje muestra el mensaje de registro detallado de un evento. En esta tabla, se muestran algunos ejemplos de registros de eventos comunes.
| Nro. | Situación | Fila con el ejemplo |
|---|---|---|
| 1 | Inicio de sesión exitoso, desde la página de inicio de sesión | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login suceded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | Error de inicio de sesión, nombre de usuario incorrecto, desde la página de inicio de sesión | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | Error de inicio de sesión, contraseña incorrecta, desde la página de inicio de sesión | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | Inicio de sesión creado, desde la herramienta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
| 5 | Error de inicio de sesión, token incorrecto, desde la herramienta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | Error de inicio de sesión, código de acceso incorrecto, desde la herramienta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token valuegt>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | Inicio de sesión exitoso, desde la herramienta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, como Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | Sesión finalizada | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | Cierre de sesión | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
