您有权访问有关登录和注销的系统活动记录。会记录高级别安全事件以用于审计目的。安全事件的类型涵盖高风险活动,从而使您能够通过分析记录的源 Internet 地址、源会话、用户 ID 和事件时间来跟踪事件和识别事件来源。

日志条目基于有关识别和描述安全事件的行业标准,安全事件可能是系统攻击的结果,非常适合导入/与第三方工具配合使用以用于鉴证分析报告。此外,日志本身还可以标识特定事件,使其在日志即时可见。

验证日志页面包括功能强大的搜索筛选器、日志汇总区域(用以汇总日志中的事件),以及页面底部的邮件详细内容面板(用以显示事件详情,包括处理程序类和类型、用户代理与日志消息)。

旧版验证提供程序不会生成日志消息。因此,旧版提供程序搜索筛选器已被禁用。

访问验证日志页面的方式有以下两种:

  1. 管理员面板集成区域中,选择验证。选择查看验证日志
  2. 管理员面板工具和实用工具区域中,选择日志。选择验证日志

“验证日志”页面

该日志将显示所有验证事件,包括事件类型、用户名、IP 地址、日期和涉及的提供程序。在日志表中选择一个条目可在邮件详细内容窗口中显示详细信息

  1. 通过搜索筛选器,您可以搜索特定活动并按用户、验证提供程序、事件类型和日期进行筛选。
  2. 刷新显示的内容,以便显示与筛选器选项匹配的最新日志条目。
  3. 清除计数可清除日志汇总部分中的消息计数指示器,以帮助进行故障排除。
  4. 清除日志可删除所有日志记录,还可清除日志汇总部分中的消息计数指示器。
  5. 邮件详细内容面板可允许您复查事件详情,包括处理程序类和类型、用户代理与日志消息。在日志汇总部分选择一个事件,可显示该事件的邮件详细内容

使用 REDIRECT 类型的验证提供程序(如 CAS 或 Shibboleth),有些验证事件可能无法得到记录,因为其发生在验证源服务器上。

事件类型

该日志显示五种事件:

  • 登录
  • 注销,其他信息将显示是手动注销还是由于会话过期而注销。
  • 登录尝试
  • 邮件
  • 错误

按情形显示的日志条目示例

邮件详细内容窗口显示事件的详细日志消息。下表显示了常见事件的一些日志示例。

#情景示例行
1登录成功,通过登录页面timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
2登录失败,用户名错误,通过登录页面timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
3登录失败,密码错误,通过登录页面timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
4创建登录,通过一次性工具timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent=
5登录失败,令牌错误,通过一次性工具timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
6登录失败,输入代码错误,通过一次性工具timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
7登录成功,通过一次性工具timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30
8会话已过期timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent=
9注销timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30