Logs de autenticação
Você tem acesso aos registros de uma atividade do sistema envolvendo logon e logout. Eventos de segurança de alto nível são registrados para fins de auditoria. Os tipos de eventos de segurança abrangem atividades de alto risco que permitem o rastreamento e a identificação da origem do evento por meio da análise do endereço da internet de origem registrada, da sessão de origem, da identificação do usuário e do horário do evento.
As entradas de log são baseadas nos padrões do setor para identificação e descrição de eventos de segurança que podem ser o resultado de ataques ao sistema, tornando-as adequadas para importação/uso com ferramentas de terceiros para relatórios de análises forenses. Além disso, os próprios logs fornecem a capacidade de identificar eventos específicos imediatamente visíveis nos logs.
A página Logs de autenticação inclui um filtro eficiente de Busca, uma área de Resumo do log (para resumir os eventos) e um painel Detalhes da mensagem (para exibir os detalhes do evento) na parte inferior da página, incluindo o tipo e a classe do manipulador, agente do usuário e mensagem de log.
Em implantações de software como serviço, os logs de autenticação são explicitamente excluídos. A tabela de log do provedor de autenticação é mantida por 10 dias.
Existem duas maneiras de acessar a página Logs de autenticação:
- No Painel do administrador, na seção Integrações, selecione Autenticação. Depois, selecione Visualizar logs de autenticação.
- No Painel do administrador, na seção Ferramentas e utilitários, selecione Logs. Depois, selecione Logs de autenticação.
Página Logs de autenticação
O log exibe todos os eventos de autenticação, incluindo o tipo de evento, nome de usuário, endereço IP, data e o provedor envolvido. Selecione uma entrada na tabela de log para mostrar mais informações na janela Detalhes da mensagem.
- Use o filtro Busca para buscar uma atividade específica e filtrar por usuário, provedor de autenticação, tipo de evento e data.
- Atualize a tela para que apareçam os itens de registro mais atualizados correspondendo à escolha do filtro.
- Limpar contagens limpa os indicadores de contagem de mensagens na seção Resumo do registro para auxiliar na resolução de problemas.
- O painel Detalhes da mensagem permite examinar os detalhes do evento, incluindo classe e tipo de manipulador, agente do usuário e a mensagem de registro. Selecione um evento na seção Resumo de registro para exibir os Detalhes da mensagem para o evento.
Com provedores de autenticação do tipo REDIRECT, como CAS, alguns eventos de autenticação podem não ser registrados em log conforme ocorrem no servidor de origem.
Tipos de evento
O log exibe cinco eventos:
- Logons
- Logoffs, informações adicionais mostram se um logoff foi manual ou devido à expiração da sessão.
- Tentativas de logon
- Mensagens
- Erros
Exemplo de entradas de log por cenário
A janela Detalhes da mensagem exibe a mensagem detalhada do log de um evento. Essa tabela exibe alguns exemplos de logs para eventos comuns.
# | Cenário | Exemplo de linha |
---|---|---|
1 | Logon bem-sucedido, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=logon succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon succeeded|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
2 | Falha no logon, nome de usuário inválido, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
3 | Falha no logon, senha inválida, via página de logon | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
4 | Logon criado, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=logon created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time logon created|authnmethod=one time logon tool|http_useragent= |
5 | Falha no logon, código inválido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
6 | Falha no logon, código de entrada inválido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
7 | Logon bem-sucedido, via ferramenta única | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
8 | A sessão expirou | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
9 | Logout | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |