Cfg de SA : Emplacements des logs d'audit locaux

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics comporte des fonctionnalités de consignation d'audit globale. Lorsque vous configurez une consignation d'audit globale, les logs d'audit de tous les composants Security Analytics effectuent la collecte dans un système centralisé, qui les convertit au format requis et les transfère à un serveur syslog tiers ou un Log Decoder. 

Pour afficher les logs d'audit à partir des services individuels, vous pouvez consulter les emplacements des logs d'audit locaux. Le tableau suivant présente les chemins de répertoire locaux des logs d'audit pour l'interface utilisateur Security Analytics et les différents services Security Analytics.

                         
Service/ModuleEmplacement du log d'audit
Interface utilisateur Security Analytics
(Serveur Web Security Analytics)
L'interface utilisateur Security Analytics envoie les logs d'audit aux emplacements suivants :
  • /var/lib/netwitness/uax/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
L'interface Security Analytics utilise la fonctionnalité AUTH de syslog pour écrire les logs d'audit dans syslog. Vous ne pouvez voir les logs d'audit que dans le premier emplacement (/var/lib/netwitness/uax/logs/audit/audit.log).
Les services de base de Security Analytics (Decoder, Log Decoder, Concentrator, Broker, et Archiver), Log Collector,
Warehouse Connector, Workbench et IPDB Extractor
Les services de base de Security Analytics et les services similaires envoient des logs d'audit à l'instance Syslog s'exécutant sur l'hôte local. 
Chemin d'accès : /var/log/Secure (format JSON)

Les services de base de Security Analytics utilisent la fonctionnalité AUTHPRIV de syslog pour écrire des logs d'audit dans syslog.
Reporting Engine
Malware Analysis
Incident Management et
Event Stream Analysis (ESA)
Ces services envoient des logs d'audit aux emplacements suivants :
  • <épertoire de base de l'application>/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
Les éléments suivants sont les emplacements de log d'audit de ces services :
Reporting Engine : 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Incident Management :
/opt/rsa/im/logs/audit/audit.log


Malware Analysis :
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis :
/opt/rsa/esa/logs/audit/audit.log

Ces services utilisent la fonctionnalité AUTH de Syslog pour écrire des logs d'audit dans Syslog. Vous ne pouvez afficher les logs d'audit que dans le premier emplacement (<répertoire de base de l'application>/logs/audit/audit.log).
Intégrité, Gestion de la source d'événements (ESM), et Appliance and Service Grouping (ASG)Ces services envoient des logs d'audit aux emplacements suivants :
  • /opt/rsa/sms/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
Ces services utilisent la fonctionnalité AUTH de syslog pour écrire des logs d'audit dans syslog. Vous ne pouvez afficher les logs d'audit que dans le premier emplacement (répertoire de base de l'application/logs/audit/audit.log).
You are here
Table of Contents > Références > Panneau Configuration de la consignation globale des audits > Emplacements des logs d'audit locaux

Attachments

    Outcomes