Config. de SA : Vérifier les logs d'audits globaux

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions sur le mode de configuration des logs d'audit globaux. Après avoir configuré la consignation globale des audits, il est recommandé de tester vos logs d'audit globaux pour vous assurer qu'ils contiennent les événements d'audit tels que définis dans votre modèle de consignation des audits global. 

Conditions préalables

Avant de démarrer cette tâche, suivez les étapes détaillées dans Configurer la consignation globale des audits.

Procédure

Pour afficher et vérifier les logs d'audit globaux, si vous utilisez un Log Decoder :

  1. Dans le menu Security Analytics, sélectionnez Investigation > Événements.
  2. Dans la vue Parcourir, sélectionnez le Log Decoder et cliquez sur Parcourir. Les logs d'audit globaux s'affichent et indiquent Security Analytics Audit dans les logs.
  3. Comparez les champs dans les logs d'audit globaux avec les champs définis dans le modèle de consignation des audits global que vous avez utilisé dans votre configuration de consignation d'audit globale.
  4. Double-cliquez sur un log, puis, dans la boîte de dialogue Reconstruction d'événement, sélectionnez Afficher les métadonnées.
    EvntRecViewMeta.png
  5. Vérifiez que les métadonnées que vous souhaitez auditer sont correctes. 

Exemple de sortie CEF

L'exemple suivant affiche les logs d'audit globaux pour un modèle de consignation des audits Common Event Format (CEF).

Modèle :

 CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  

Exemples de logs :

2015-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|login|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

2015-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success

2015-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

<hostname> est le nom d'hôte de l'en-tête syslog (alias.host).

Pour les modèles CEF, si un événement d'audit ne possède pas de valeur pour un champ dans le modèle, le champ de l'événement correspondant arrivant sur le serveur syslog tiers ou le Log Decoder sera supprimé.

Exemple de sortie au format lisible

L'exemple suivant présente des logs d'audit globaux pour un modèle de format lisible de consignation d'audit sur un serveur syslog tiers.

Modèle :

 ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  

Exemples de logs :

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits > Vérifier les logs d'audits globaux

Attachments

    Outcomes