Vous avez accès aux enregistrements de l'activité du système impliquant la connexion et la déconnexion. Les événements de sécurité de haut niveau sont enregistrés à des fins d'audit. Les types d'événements de sécurité couvrent les activités à haut risque. Cela permet le suivi et l'identification de la source de l'événement par le biais de l'analyse de l'adresse Internet source, de la session source, du code utilisateur et de l'heure de l'événement enregistrés.
Dans les déploiements SaaS, les journaux d'authentification sont conservés pendant 10 jours.
Les entrées de journal sont basées sur des normes industrielles pour l'identification et la description des événements de sécurité qui peuvent être générés par des attaques système leur permettant d'être importées/utilisées avec des outils tiers pour le rapport d'analyse judiciaire. En outre, certains événements spécifiques sont immédiatement identifiables à la consultation des journaux.
La page Journaux d'authentification comprend un filtre Recherche puissant, une zone Synthèse du journal pour la récapitulation des événements du journal et un volet Détails du message dans la partie inférieure pour l'affichage des détails de l'événement, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal.
Le fournisseur d'authentification hérité ne génère aucun message de journal. C'est pourquoi le filtre de recherche du fournisseur hérité est désactivé.
Il existe deux façons d'accéder à la page Journaux d'authentification :
- Dans le Panneau de configuration de l'administrateur, sélectionnez Authentication sous la section Intégrations. Sélectionnez Afficher les journaux d'authentification.
- Dans la section Outils et utilitaires du panneau de configuration de l'administrateur, sélectionnez Journaux. Sélectionnez Journaux d'authentification.
Page Journaux d'authentification
Le journal affiche tous les événements d'authentification, y compris le type d'événement, le nom d'utilisateur, l'adresse IP, la date et le fournisseur concerné. Sélectionnez une entrée dans la table du journal pour afficher plus d'informations dans la fenêtre Détails du message.
- Le filtre Recherche vous permet d'effectuer des recherches spécifiques d'activités et de les filtrer par utilisateur, fournisseur d'authentification, type d'événement et date.
- Actualisez l'affichage de façon à afficher les entrées de journal les plus récentes correspondant au choix de filtre.
- Effacer les comptages efface les indicateurs de comptage de messages dans la section Synthèse du journal afin de faciliter le dépannage.
- Journal de purge supprime tous les enregistrements du journal, ainsi que les indicateurs de comptage de messages de la section Synthèse du journal.
- Le volet Détails du message vous permet de consulter les détails de l'événement, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal. Sélectionnez un événement dans la section Synthèse du journal afin d'afficher les Détails du message de cet événement.
Avec les fournisseurs d'authentification de type REDIRECT, tels que CAS ou Shibboleth, il est possible que certains événements d'authentification ne soient pas journalisés, car ils se sont produits sur le serveur de source d'authentification.
Types d'événement
Le journal présente cinq événements :
- Connexions
- Déconnexions ; des informations supplémentaires indiquent si une déconnexion était manuelle ou due à l'expiration de la session.
- Tentatives de connexion
- Messages
- Erreurs
Exemples d'entrées de journal par cas de figure
La fenêtre Détails du message affiche le message détaillé du journal pour un événement. Le tableau suivant répertorie des exemples de journaux pour les événements courants.
| # | Cas de figure | Ligne d'exemple |
|---|---|---|
| 1 | Connexion réussie, via la page de connexion | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | Échec de la connexion, nom d'utilisateur incorrect, via la page de connexion | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | Échec de la connexion, mot de passe incorrect, via la page de connexion | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | Identifiant créé, via un outil à utilisation unique | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
| 5 | Échec de la connexion, jeton incorrect, via un outil à utilisation unique | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | Échec de la connexion, code d'entrée incorrect, via un outil à utilisation unique | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | Connexion réussie, via un outil à utilisation unique | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | La session a expiré | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | Déconnexion | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
