您有权访问有关登录和注销的系统活动记录。系统会记录高级别安全事件以用于审计目的。安全事件的类型涵盖高风险活动,从而使您能够通过分析记录的源 Internet 地址、源会话、用户 ID 和事件时间来跟踪事件和识别事件来源。
日志条目基于有关识别和描述安全事件的行业标准,安全事件可能是系统攻击的结果,非常适合导入/与第三方工具配合使用以用于鉴证分析报告。此外,日志本身还可以标识特定事件,使其在日志中即时可见。
“验证日志”页面包括功能强大的搜索筛选器、日志汇总区域(用以汇总日志中的事件),以及页面底部的邮件详细内容窗格(用以显示事件详情,包括处理程序类和类型、用户代理与日志消息)。
在 SaaS 部署中,验证日志会一直保留到明确删除为止。验证提供程序日志表会保留 10 天。
访问“验证日志”页面的方式有以下两种:
- 在管理员面板的集成部分中,选择验证。选择查看验证日志。
- 在管理员面板的工具和实用工具部分中,选择日志。选择验证日志。
“验证日志”页面
该日志将显示所有验证事件,包括事件类型、用户名、IP 地址、日期和涉及的提供程序。在日志表中选择一个条目可在邮件详细内容窗口中显示详细信息。
- 使用搜索筛选器,您可以搜索特定活动并按用户、验证提供程序、事件类型和日期进行筛选。
- 刷新显示的内容,以便显示与筛选器选项匹配的最新日志条目。
- 清除计数可清除日志汇总部分中的消息计数指示器,以帮助进行故障排除。
- 邮件详细内容窗格可用于复查事件详情,包括处理程序类和类型、用户代理与日志消息。在日志汇总部分选择一个事件,可显示该事件的邮件详细内容。
使用 REDIRECT 类型的验证提供程序(如 CAS),有些验证事件可能无法得到记录,因为其发生在验证源服务器上。
事件类型
该日志显示五种事件:
- 登录
- 注销,其他信息将显示是手动注销还是由于会话过期而注销。
- 登录尝试
- 邮件
- 错误
按情形显示的日志条目示例
邮件详细内容窗口显示事件的详细日志消息。下表显示了常见事件的一些日志示例。
# | 情景 | 示例行 |
---|---|---|
1 | 登录成功,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
2 | 登录失败,用户名错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
3 | 登录失败,密码错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
4 | 创建登录,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
5 | 登录失败,令牌错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
6 | 登录失败,输入代码错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
7 | 登录成功,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
8 | 会话已过期 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
9 | 注销 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |