Logs de autenticação

Você tem acesso aos registros de uma atividade do sistema envolvendo logon e logout. Eventos de segurança de alto nível são registrados para fins de auditoria. Os tipos de eventos de segurança abrangem atividades de alto risco que permitem o rastreamento e a identificação da origem do evento por meio da análise do endereço da internet de origem registrada, da sessão de origem, da identificação do usuário e do horário do evento.

As entradas de log são baseadas nos padrões do setor para identificação e descrição de eventos de segurança que podem ser o resultado de ataques ao sistema, tornando-as adequadas para importação/uso com ferramentas de terceiros para relatórios de análises forenses. Além disso, os próprios logs fornecem a capacidade de identificar eventos específicos imediatamente visíveis nos logs.

A página Logs de autenticação inclui um filtro eficiente de Busca, uma área de Resumo do log (para resumir os eventos) e um painel Detalhes da mensagem (para exibir os detalhes do evento) na parte inferior da página, incluindo o tipo e a classe do manipulador, agente do usuário e mensagem de log.

Em implantações de software como serviço, os logs de autenticação são explicitamente excluídos. A tabela de log do provedor de autenticação é mantida por 10 dias.

Existem duas maneiras de acessar a página Logs de autenticação:

  1. No Painel do administrador, na seção Integrações, selecione Autenticação. Depois, selecione Visualizar logs de autenticação.
  2. No Painel do administrador, na seção Ferramentas e utilitários, selecione Logs. Depois, selecione Logs de autenticação.

Página Logs de autenticação

O log exibe todos os eventos de autenticação, incluindo o tipo de evento, nome de usuário, endereço IP, data e o provedor envolvido. Selecione uma entrada na tabela de log para mostrar mais informações na janela Detalhes da mensagem.

  • Use o filtro Busca para buscar uma atividade específica e filtrar por usuário, provedor de autenticação, tipo de evento e data.
  • Atualize a tela para que apareçam os itens de registro mais atualizados correspondendo à escolha do filtro.
  • Limpar contagens limpa os indicadores de contagem de mensagens na seção Resumo do registro para auxiliar na resolução de problemas.
  • O painel Detalhes da mensagem permite examinar os detalhes do evento, incluindo classe e tipo de manipulador, agente do usuário e a mensagem de registro. Selecione um evento na seção Resumo de registro para exibir os Detalhes da mensagem para o evento.

Com provedores de autenticação do tipo REDIRECT, como CAS, alguns eventos de autenticação podem não ser registrados em log conforme ocorrem no servidor de origem.

Tipos de evento

O log exibe cinco eventos:

  • Logons
  • Logoffs, informações adicionais mostram se um logoff foi manual ou devido à expiração da sessão.
  • Tentativas de logon
  • Mensagens
  • Erros

Exemplo de entradas de log por cenário

A janela Detalhes da mensagem exibe a mensagem detalhada do log de um evento. Essa tabela exibe alguns exemplos de logs para eventos comuns.

#CenárioExemplo de linha
1Logon bem-sucedido, via página de logontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=logon succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon succeeded|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
2Falha no logon, nome de usuário inválido, via página de logontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
3Falha no logon, senha inválida, via página de logontimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=logon failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logon failed|authnmethod=logon page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
4Logon criado, via ferramenta únicatimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=logon created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time logon created|authnmethod=one time logon tool|http_useragent=
5Falha no logon, código inválido, via ferramenta únicatimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
6Falha no logon, código de entrada inválido, via ferramenta únicatimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
7Logon bem-sucedido, via ferramenta únicatimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token |authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
8A sessão expiroutimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent=
9Logouttimestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30