У вас есть доступ к записям об активности в системе, включая вход и выход из системы. События, влияющие на безопасность высокого уровня, записываются в журнал для целей аудита. Типы событий, связанных с безопасностью, охватывают задачи с высоким уровнем риска, позволяющие отслеживать и идентифицировать источник события посредством анализа исходного адреса в Интернете, исходного сеанса, идентификатора пользователя и времени события.
Записи в журнале основываются на отраслевых стандартах идентификации и описания событий, связанных с безопасностью, которые могут быть результатом системных атак, что делает возможным импорт/использование сторонних средств для формирования отчетов об экспертизе. Кроме того, сами журналы обеспечивают возможность идентифицировать определенные события, которые сразу же отображаются в журналах.
Страница «Журналы проверки подлинности» содержит мощный фильтр поиска, область сводки журнала для суммирования событий журнала и область сведений о сообщениях внизу страницы для отображения сведений о событиях, включая класс и тип обработчика, агента пользователя и сообщение журнала.
Предыдущая версия службы проверки подлинности не создает сообщений журнала. Поэтому фильтр поиска предыдущей версии службы отключен.
Открыть страницу «Журналы проверки подлинности» можно двумя способами.
- В окне «Панель администратора» в разделе «Интеграции» выберите пункт «Проверка подлинности». Выберите «Просмотр журналов проверки подлинности».
- В окне «Панель администратора» в разделе «Средства и утилиты» выберите пункт «Журналы». Выберите «Журналы проверки подлинности».
Страница «Журналы проверки подлинности»
В журнале отображаются все события проверки подлинности, включая тип события, имя пользователя, IP-адрес, дату и используемую службу. Выберите запись в таблице журнала, чтобы отобразить дополнительные сведения в окне «Подробности о сообщении».
- Фильтр поиска позволяет искать определенные действия и фильтровать по пользователю, службе проверки подлинности, типу события и дате.
- Обновите отображение, чтобы самые актуальные записи журнала совпадали с выбранными фильтрами.
- При использовании функции «Очистка счетчиков» происходит сброс индикаторов количества сообщений в разделе «Сводка по журналу», чтобы помочь при поиске и устранении неисправностей.
- Функция «Очистить журнал» удаляет из журнала все записи, а также индикаторы количества сообщений в разделе «Сводка по журналу».
- Панель «Подробности о сообщении» позволяет просматривать сведения о событиях, включая класс и тип обработчика, агента пользователя и сообщение журнала. Выберите событие в разделе «Сводка по журналу», чтобы отобразить сведения о сообщении для этого события.
Кроме того, для служб проверки подлинности типа REDIRECT, таких как CAS или Shibboleth, некоторые события проверки подлинности могут не регистрироваться в журнале, если они происходят на сервере источника проверки подлинности.
Типы события
В журнале отображается пять событий.
- Входы
- Выходы. В дополнительной информации отображается, был ли выполнен выход вручную или из-за истечения сеанса.
- Попытки входа
- Сообщения
- Ошибки
Примеры записей журнала по сценарию
В окне «Подробности о сообщении» отображается подробное сообщение журнала для события. В этой таблице показаны примеры журналов для распространенных событий.
# | Ситуация | Пример строки |
---|---|---|
1 | Вход выполнен успешно со страницы входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
2 | Сбой входа, неправильное имя пользователя, со страницы входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
3 | Сбой входа, неправильный пароль, со страницы входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
4 | Создана учетная запись с помощью средства однократного входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
5 | Не удалось войти в систему, неверный маркер, через средство однократного входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
6 | Сбой входа, неверный код записи, с помощью средства однократного входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
7 | Вход выполнен, с помощью средства однократного входа | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
8 | Сеанс завершен | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
9 | Выход из системы | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |