Vous avez accès aux enregistrements de l'activité du système impliquant la connexion et la déconnexion. Les événements de sécurité de haut niveau sont enregistrés à des fins d'audit. Les types d'événements de sécurité couvrent les activités à haut risque. Cela permet le suivi et l'identification de la source de l'événement par le biais de l'analyse de l'adresse Internet source, de la session source, du code utilisateur et de l'heure de l'événement enregistrés.

Les entrées de journal sont basées sur des normes industrielles pour l'identification et la description des événements de sécurité qui peuvent être générés par des attaques système leur permettant d'être importées/utilisées avec des outils tiers pour le rapport d'analyse judiciaire. En outre, certains événements spécifiques sont immédiatement identifiables à la consultation des journaux.

La page Journaux d'authentification comprend un filtre Recherche puissant, une zone Synthèse du journal pour la récapitulation des événements du journal et un volet Détails du message dans la partie inférieure pour l'affichage des détails de l'événement, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal.

Le fournisseur d'authentification hérité ne génère aucun message de journal. C'est pourquoi le filtre de recherche du fournisseur hérité est désactivé.

Il existe deux façons d'accéder à la page Journaux d'authentification :

  1. Dans le Panneau de configuration de l'administrateur, sélectionnez Authentication sous la section Intégrations. Sélectionnez Afficher les journaux d'authentification.
  2. Dans la section Outils et utilitaires du panneau de configuration de l'administrateur, sélectionnez Journaux. Sélectionnez Journaux d'authentification.

Page Journaux d'authentification

Le journal affiche tous les événements d'authentification, y compris le type d'événement, le nom d'utilisateur, l'adresse IP, la date et le fournisseur concerné. Sélectionnez une entrée dans la table du journal pour afficher plus d'informations dans la fenêtre Détails du message.

  1. Le filtre Recherche vous permet d'effectuer des recherches spécifiques d'activités et de les filtrer par utilisateur, fournisseur d'authentification, type d'événement et date.
  2. Actualisez l'affichage de façon à afficher les entrées de journal les plus récentes correspondant au choix de filtre.
  3. Effacer les comptages efface les indicateurs de comptage de messages dans la section Synthèse du journal afin de faciliter le dépannage.
  4. Journal de purge supprime tous les enregistrements du journal, ainsi que les indicateurs de comptage de messages de la section Synthèse du journal.
  5. Le volet Détails du message vous permet de consulter les détails de l'événement, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal. Sélectionnez un événement dans la section Synthèse du journal afin d'afficher les Détails du message de cet événement.

avec les fournisseurs d'authentification de type REDIRECT, tels que CAS ou Shibboleth, il est possible que certains événements d'authentification ne soient pas journalisés comme ils se sont produits sur un serveur de source d'authentification.

Types d'événement

Le journal présente cinq événements :

  • Connexions
  • Déconnexions ; des informations supplémentaires indiquent si une déconnexion était manuelle ou due à l'expiration de la session.
  • Tentatives de connexion
  • Messages
  • Erreurs

Exemple d'entrées de journal par cas de figure

La fenêtre Détails du message affiche le message détaillé du journal pour un événement. Le tableau suivant répertorie des exemples de journaux pour les événements courants.

#Cas de figureLigne d'exemple
1Connexion réussie, via la page de connexiontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
2Échec de la connexion, nom d'utilisateur incorrect, via la page de connexiontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
3Échec de la connexion, mot de passe incorrect, via la page de connexiontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
4Identifiant créé, via un outil à utilisation uniquetimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent=
5Échec de la connexion, jeton incorrect, via un outil à utilisation uniquetimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
6Échec de la connexion, code d'entrée incorrect, via un outil à utilisation uniquetimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
7Connexion réussie, via un outil à utilisation uniquetimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
8La session a expirétimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent=
9Déconnexiontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30