Você tem acesso aos registros de uma atividade do sistema envolvendo logon e logout. Eventos de segurança de alto nível são registrados para fins de auditoria. Os tipos de eventos de segurança abrangem atividades de alto risco que permitem o rastreamento e a identificação da origem do evento por meio da análise do endereço da internet de origem registrada, da sessão de origem, da identificação do usuário e do horário do evento.
Em implantações de software como serviço, os logs de autenticação são mantidos por 10 dias.
As entradas de log são baseadas nos padrões do setor para identificação e descrição de eventos de segurança que podem ser o resultado de ataques ao sistema, tornando-as adequadas para importação/uso com ferramentas de terceiros para relatórios de análises forenses. Além disso, os próprios logs fornecem a capacidade de identificar eventos específicos imediatamente visíveis nos logs.
A página Logs de autenticação inclui um filtro eficiente de Busca, uma área de Resumo do log (para resumir os eventos) e um painel Detalhes da mensagem (para exibir os detalhes do evento) na parte inferior da página, incluindo o tipo e a classe do manipulador, agente do usuário e mensagem de log.
O provedor de autenticação legado não produz mensagens de log. Portanto, o filtro de busca do provedor legado está desabilitado.
Existem duas maneiras de acessar a página Logs de autenticação:
- No Painel do administrador, na seção Integrações , selecione Autenticação. Selecione Exibir logs de autenticação.
- No Painel do administrador, na seção Ferramentas e utilitários, selecione Registros. Selecione Logs de autenticação.
Página Logs de autenticação
O log exibe todos os eventos de autenticação, incluindo o tipo de evento, nome de usuário, endereço IP, data e o provedor envolvido. Selecione uma entrada na tabela de log para mostrar mais informações na janela Detalhes da mensagem.
- O filtro Busca permite buscar uma atividade específica e filtrar por usuário, provedor de autenticação, tipo de evento e data.
- Atualize a exibição para que apareçam os itens de registro mais atualizados correspondendo à escolha do filtro.
- Limpar contagens limpa os indicadores de contagem de mensagens na seção Resumo do registro para auxiliar na resolução de problemas.
- Remover registro remove todas as gravações do registro, o que também limpa os indicadores de mensagem na seção Resumo de registro.
- O painel Detalhes da mensagem permite examinar os detalhes do evento, incluindo classe e tipo de manipulador, agente do usuário e a mensagem de registro. Selecione um evento na seção Resumo de registro para exibir os Detalhes da mensagem para o evento.
Com provedores de autenticação do tipo REDIRECT, como CAS ou Shibboleth, alguns eventos de autenticação podem não ser registrados em log conforme ocorrem no servidor de origem.
Tipos de evento
O log exibe cinco eventos:
- Logons
- Logoffs, informações adicionais mostram se um logoff foi manual ou devido à expiração da sessão.
- Tentativas de logon
- Mensagens
- Erros
Exemplo de entradas de log por cenário
A janela Detalhes da mensagem exibe a mensagem detalhada do log de um evento. Essa tabela exibe alguns exemplos de logs para eventos comuns.
| # | Cenário | Exemplo de linha |
|---|---|---|
| 1 | Logon bem-sucedido, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=logon succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon succeeded|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | Falha no logon, nome de usuário inválido, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | Falha no logon, senha inválida, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | Logon criado, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=logon created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time logon created|authnmethod=one time logon tool|http_useragent= |
| 5 | Falha no logon, código inválido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | Falha no logon, código de entrada inválido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | Logon bem-sucedido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | A sessão expirou | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | Logout | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
