У вас есть доступ к записям об активности в системе, включая вход и выход из системы. События, влияющие на безопасность высокого уровня, записываются в журнал для целей аудита. Типы событий, связанных с безопасностью, охватывают задачи с высоким уровнем риска, позволяющие отслеживать и идентифицировать источник события посредством анализа исходного адреса в Интернете, исходного сеанса, идентификатора пользователя и времени события.

Записи в журнале основываются на отраслевых стандартах идентификации и описания событий, связанных с безопасностью, которые могут быть результатом системных атак, что делает возможным импорт/использование сторонних средств для формирования отчетов об экспертизе. Кроме того, сами журналы обеспечивают возможность идентифицировать определенные события, которые сразу же отображаются в журналах.

Страница «Журналы проверки подлинности» содержит мощный фильтр поиска, область сводки журнала для суммирования событий журнала и область сведений о сообщениях внизу страницы для отображения сведений о событиях, включая класс и тип обработчика, агента пользователя и сообщение журнала.

Предыдущая версия службы проверки подлинности не создает сообщений журнала. Поэтому фильтр поиска предыдущей версии службы отключен.

Открыть страницу «Журналы проверки подлинности» можно двумя способами.

  1. В окне «Панель администратора» в разделе «Интеграции» выберите пункт «Проверка подлинности». Выберите «Просмотр журналов проверки подлинности».
  2. В окне «Панель администратора» в разделе «Средства и утилиты» выберите пункт «Журналы». Выберите «Журналы проверки подлинности».

Страница «Журналы проверки подлинности»

В журнале отображаются все события проверки подлинности, включая тип события, имя пользователя, IP-адрес, дату и используемую службу. Выберите запись в таблице журнала, чтобы отобразить дополнительные сведения в окне «Подробности о сообщении».

  1. Фильтр поиска позволяет искать определенные действия и фильтровать по пользователю, службе проверки подлинности, типу события и дате.
  2. Обновите отображение, чтобы самые актуальные записи журнала совпадали с выбранными фильтрами.
  3. При использовании функции «Очистка счетчиков» происходит сброс индикаторов количества сообщений в разделе «Сводка по журналу», чтобы помочь при поиске и устранении неисправностей.
  4. Функция «Очистить журнал» удаляет из журнала все записи, а также индикаторы количества сообщений в разделе «Сводка по журналу».
  5. Панель «Подробности о сообщении» позволяет просматривать сведения о событиях, включая класс и тип обработчика, агента пользователя и сообщение журнала. Выберите событие в разделе «Сводка по журналу», чтобы отобразить сведения о сообщении для этого события.

Кроме того, для служб проверки подлинности типа REDIRECT, таких как CAS или Shibboleth, некоторые события проверки подлинности могут не регистрироваться в журнале, если они происходят на сервере источника проверки подлинности.

Типы события

В журнале отображается пять событий.

  • Входы
  • Выходы. В дополнительной информации отображается, был ли выполнен выход вручную или из-за истечения сеанса.
  • Попытки входа
  • Сообщения
  • Ошибки

Примеры записей журнала по сценарию

В окне «Подробности о сообщении» отображается подробное сообщение журнала для события. В этой таблице показаны примеры журналов для распространенных событий.

# Ситуация Пример строки
1 Вход выполнен успешно со страницы входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
2 Сбой входа, неправильное имя пользователя, со страницы входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
3 Сбой входа, неправильный пароль, со страницы входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
4 Создана учетная запись с помощью средства однократного входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent=
5 Не удалось войти в систему, неверный маркер, через средство однократного входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
6 Сбой входа, неверный код записи, с помощью средства однократного входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
7 Вход выполнен, с помощью средства однократного входа timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
8 Сеанс завершен timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent=
9 Выход из системы timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30