Configuración de SA: Ubicaciones de los registros de auditoría locales

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics incluye funcionalidades de registro de auditoría global. Cuando configura el registro de auditoría global, los registros de auditoría de todos los componentes de Security Analytics se recopilan en un sistema centralizado, el cual los convierte al formato requerido y los reenvía a un servidor de syslog de terceros o a un Log Decoder. 

Para ver los registros de auditoría de cada servicio, puede observar las ubicaciones de los registros de auditoría locales. En la siguiente tabla se muestran las rutas de directorio local de los registros de auditoría correspondientes a la interfaz del usuario de Security Analytics y a los diversos servicios de Security Analytics.

                         
Servicio/móduloUbicación del registro de auditoría
Interfaz del usuario de Security Analytics
(Servidor web de Security Analytics)
La interfaz del usuario de Security Analytics envía registros de auditoría a las siguientes ubicaciones:
  • /var/lib/netwitness/uax/logs/audit/audit.log (formato en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
La interfaz del usuario de Security Analytics utiliza la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (/var/lib/netwitness/uax/logs/audit/audit.log).
Servicios Security Analytics Core (Decoder, Log Decoder, Concentrator, Broker y Archiver), Log Collector,
Warehouse Connector, IPDB Extractor y Workbench
Los servicios Security Analytics Core y los servicios similares envían registros de auditoría a syslog que se ejecuta en el host local. 
Ruta: /var/log/secure (formato JSON)

Los servicios Security Analytics Core usan la funcionalidad AUTHPRIV de syslog para escribir registros de auditoría en syslog.
Reporting Engine,
Malware Analysis,
Incident Management y
Event Stream Analysis (ESA)
Estos servicios envían registros de auditoría a las siguientes ubicaciones:
  • <application home directory>/logs/audit/audit.log (en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
Las siguientes son las ubicaciones de los registros de auditoría de estos servicios:
Reporting Engine: 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Incident Management:
/opt/rsa/im/logs/audit/audit.log


Malware Analysis:
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis:
/opt/rsa/esa/logs/audit/audit.log

Estos servicios usan la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (<application home directory>/logs/audit/audit.log).
Estado y condición, Administración de orígenes de eventos (ESM) y Agrupación de dispositivos y servicios (ASG)Estos servicios envían registros de auditoría a las siguientes ubicaciones:
  • /opt/rsa/sms/logs/audit/audit.log (formato en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
Estos servicios usan la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (/opt/rsa/sms/logs/audit/audit.log).
You are here
Table of Contents > Referencias > Panel Configuraciones de registro de auditoría global > Ubicaciones de los registros de auditoría locales

Attachments

    Outcomes