您有权访问有关登录和注销的系统活动记录。系统会记录高级别安全事件以用于审计目的。安全事件的类型涵盖高风险活动,从而使您能够通过分析记录的源 Internet 地址、源会话、用户 ID 和事件时间来跟踪事件和识别事件来源。
日志条目基于有关识别和描述安全事件的行业标准,安全事件可能是系统攻击的结果,非常适合导入/与第三方工具配合使用以用于鉴证分析报告。此外,日志本身还可以标识特定事件,使其在日志中即时可见。
验证日志页面包括功能强大的搜索筛选器、日志汇总区域(用以汇总日志中的事件),以及页面底部的邮件详细内容面板(用以显示事件详情,包括处理程序类和类型、用户代理与日志消息)。
旧版验证提供程序不会生成日志消息。因此,旧版提供程序搜索筛选器已被禁用。
访问验证日志页面的方式有以下两种:
- 在管理员面板的集成区域中,选择验证。选择查看验证日志。
- 在管理员面板的工具和实用工具区域中,选择日志。选择验证日志。
“验证日志”页面
该日志将显示所有验证事件,包括事件类型、用户名、IP 地址、日期和涉及的提供程序。在日志表中选择一个条目可在邮件详细内容窗口中显示详细信息
- 通过搜索筛选器,您可以搜索特定活动并按用户、验证提供程序、事件类型和日期进行筛选。
- 刷新显示的内容,以便显示与筛选器选项匹配的最新日志条目。
- 清除计数可清除日志汇总部分中的消息计数指示器,以帮助进行故障排除。
- 清除日志可删除所有日志记录,还可清除日志汇总部分中的消息计数指示器。
- 邮件详细内容面板可允许您复查事件详情,包括处理程序类和类型、用户代理与日志消息。在日志汇总部分选择一个事件,可显示该事件的邮件详细内容。
使用 REDIRECT 类型的验证提供程序(如 CAS 或 Shibboleth),有些验证事件可能无法得到记录,因为其发生在验证源服务器上。
事件类型
该日志显示五种事件:
- 登录
- 注销,其他信息将显示是手动注销还是由于会话过期而注销。
- 登录尝试
- 邮件
- 错误
按情形显示的日志条目示例
邮件详细内容窗口显示事件的详细日志消息。下表显示了常见事件的一些日志示例。
| # | 情景 | 示例行 |
|---|---|---|
| 1 | 登录成功,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 2 | 登录失败,用户名错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 3 | 登录失败,密码错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 4 | 创建登录,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
| 5 | 登录失败,令牌错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 6 | 登录失败,输入代码错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 7 | 登录成功,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
| 8 | 会话已过期 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
| 9 | 注销 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
