ログインやログアウトに関連するシステムアクティビティのレコードにアクセスできます。高レベルのセキュリティイベントが監査目的でログに記録されます。セキュリティイベントのタイプには、リスクの高いアクティビティが含まれており、記録されたソースインターネットアドレス、ソースセッション、ユーザID、およびイベントの時間を分析することで、イベントのトラッキングやソースの特定ができます。
ログエントリは、システム攻撃の結果である可能性のあるセキュリティイベントを識別および記述する方法に関する業界標準に基づいており、フォレンジック分析レポート作成用のサードパーティツールでインポートしたり、使用したりするのに役立ちます。さらに、ログ自体としても、特定のイベントがログに記録されると即座にそれを識別できるという使い方ができます。
[認証ログ]ページには、強力な[検索]フィルタ、ログのイベントをまとめた[ログの概要]エリア、そしてイベント詳細を表示するためのページ下の[メッセージの詳細]ペインが含まれており、このペインにはハンドラクラスとタイプ、ユーザエージェント、およびログメッセージが記載されています。
レガシ認証プロバイダでは、ログメッセージは生成されません。そのため、レガシプロバイダ検索フィルタは無効になっています。
[認証ログ]ページにアクセスするには2つの方法があります。
- [管理者パネル]の[統合]セクションで、[認証]を選択します。[認証ログの参照]を選択します。
- [管理パネル]の[ツール/ユーティリティ]セクションで、[ログ]を選択します。[認証ログ]を選択します。
[認証ログ]ページ
ログには、イベントタイプ、ユーザ名、IPアドレス、日付、および関与しているプロバイダなど、すべての認証イベントが記載されています。ログテーブルでエントリを選択すると、[メッセージの詳細]ウィンドウに詳細情報が表示されます。
- [検索]フィルタでは、特定のアクティビティを検索できます。ユーザ、認証プロバイダ、イベントタイプ、および日付でフィルタリングが可能です。
- フィルタ選択に合致した最新のログエントリが表示されるように表示を更新します。
- [カウントをクリア]は、[ログの概要]セクションのメッセージカウントインジケータをクリアし、トラブルシューティングの際に役立ちます。
- [ログの削除]は、ログからすべてのレコードを削除し、[ログの概要]セクションのメッセージカウントインジケータもクリアします。
- [メッセージの詳細]ペインでは、ハンドラクラスとタイプ、ユーザエージェント、およびログメッセージなど、イベントの詳細を確認できます。[ログの概要]セクションでイベントを選択して、そのイベントの[メッセージの詳細]を表示します。
CASやShibbolethのようなREDIRECTタイプの認証プロバイダの場合、一部の認証イベントが認証ソースサーバで発生した際に記録されないことがあります。
イベントタイプ
ログには、次の5つのイベントが記載されています。
- ログイン
- ログアウトと、ログアウトが手動なのかセッションの期限切れによるものかを示す補足情報。
- ログインの試行
- メッセージ
- エラー
シナリオ毎のログエントリの例
[メッセージの詳細]ウィンドウにイベントの詳細なログメッセージが表示されます。この表には、共通イベントのサンプルログの一部を記載しています。
| # | シナリオ | サンプル行 |
|---|---|---|
| 1 | ログインページ経由でログインに成功しました | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | ログインページ経由でログインに失敗しました (ユーザ名の誤り) | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | ログインページ経由でログインに失敗しました (パスワードの誤り) | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | ワンタイムツール経由でログイン情報が作成されました | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
| 5 | ワンタイムツール経由でログインに失敗しました (無効なトークン) | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | ワンタイムツール経由でログインに失敗しました (無効なエントリコード) | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | ワンタイムツール経由でログインに成功しました | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | セッションの期限がきれました | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | ログアウトしました | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
