Je hebt toegang tot gegevens van systeemactiviteit op het gebied van in- en uitloggen. Algemene beveiligingsgebeurtenissen worden vastgelegd voor controledoeleinden. De typen beveiligingsgebeurtenissen hebben betrekking op activiteiten met een hoog risico, waardoor het mogelijk is de gebeurtenis te traceren en de bron ervan te identificeren via analyse van deze vastgelegde gegevens: internetadres van bron, bronsessie, gebruikers-ID en tijdstip van gebeurtenis.
In SaaS-implementaties worden verificatielogboeken 10 dagen bewaard.
Logboekvermeldingen zijn gebaseerd op industriestandaarden voor de identificatie en beschrijving van beveiligingsgebeurtenissen die het gevolg kunnen zijn van systeemaanvallen, waardoor ze geschikt zijn voor importeren/gebruik met tools van derden voor forensische analyse. Daarnaast bieden de logboeken zelf de mogelijkheid om specifieke gebeurtenissen te identificeren als direct zichtbaar in de logboeken.
De pagina Verificatielogboeken bevat een krachtig zoekfilter, een logboekoverzicht met een samenvatting van de gebeurtenissen in het logboek en onder aan de pagina een deelvenster Berichtdetails met details van een gebeurtenis, waaronder de klasse en het type handler, de gebruikersagent en het logboekbericht.
De legacy verificatieprovider genereert geen logboekberichten. Om die reden is het zoekfilter van de legacy provider uitgeschakeld.
Er zijn twee manieren om de pagina Verificatielogboeken weer te geven:
- Ga naar het configuratiescherm voor systeembeheer en selecteer Verificatie in de sectie Integraties. Selecteer Verificatielogboeken bekijken.
- Ga in het configuratiescherm voor systeembeheer naar de sectie Tools en functies en selecteer Logboeken. Selecteer Verificatielogboeken.
De pagina Verificatielogboeken
Het logboek bevat alle verificatiegebeurtenissen, met inbegrip van het type gebeurtenis, gebruikersnaam, IP-adres, datum en de betrokken provider. Selecteer een vermelding in de tabel in het logboek om aanvullende informatie weer te geven in het venster Berichtdetails.
- Met het zoekfilter kun je zoeken naar een bepaalde activiteit en filteren op gebruiker, verificatieprovider, type gebeurtenis en datum.
- Kies Vernieuwen om de meest recente logboekvermeldingen voor het ingestelde filter weer te geven.
- Met Tellingen wissen worden de aantallen in de sectie Logboekoverzicht gewist, die worden gebruikt bij het oplossen van problemen.
- Kies Logboek opschonen om alle records uit het logboek te verwijderen. Hiermee worden ook alle aantallen in de sectie Logboekoverzicht op nul gezet.
- In het deelvenster Berichtdetails kun je gegevens bekijken van gebeurtenissen, waaronder de klasse en het type handler, de gebruikersagent en het logboekbericht. Selecteer een gebeurtenis in de sectie Logboekoverzicht om berichtdetails voor die gebeurtenis weer te geven.
Bij verificatieproviders van het type REDIRECT, zoals CAS of Shibboleth, worden sommige verificatiegebeurtenissen mogelijk niet vastgelegd terwijl deze plaatsvinden op de verificatiebronserver.
Gebeurtenistypen
Het logboek bevat vijf soorten gebeurtenissen:
- Aanmeldingen
- Afmeldingen, aanvullende informatie die aangeeft of een afmelding handmatig is uitgevoerd of automatisch als gevolg van het verlopen van een sessie.
- Aanmeldpogingen
- Berichten
- Fouten
Voorbeelden van logboekvermeldingen per scenario
Het venster Berichtdetails bevat het gedetailleerde logboekbericht voor een gebeurtenis. Deze tabel bevat enkele voorbeelden van logboekvermeldingen voor veelvoorkomende gebeurtenissen.
| Nr. | Scenario | Voorbeeldrij |
|---|---|---|
| 1 | Aanmelding gelukt, via aanmeldingspagina | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | Aanmelding mislukt, onjuiste gebruikersnaam, via aanmeldingspagina | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | Aanmelding mislukt, onjuist wachtwoord, via aanmeldingspagina | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | Aanmelding gemaakt, via tool voor eenmalige aanmelding | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
| 5 | Aanmelding mislukt, onjuist token, via tool voor eenmalige aanmelding | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | Aanmelding mislukt, onjuiste vermeldingscode, via tool voor eenmalige aanmelding | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | Aanmelding gelukt, via tool voor eenmalige aanmelding | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | Sessie verlopen | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | Afmelden | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
