Configuración de NW: Ubicaciones de los registros de auditoría locales

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

NetWitness Suite incluye funcionalidades de registro de auditoría global. Cuando configura el registro de auditoría global, los registros de auditoría de todos los componentes de NetWitness Suite se recopilan en un sistema centralizado, el cual los convierte al formato requerido y los reenvía a un servidor de syslog de terceros o a un Log Decoder. 

Para ver los registros de auditoría de cada servicio, puede observar las ubicaciones de los registros de auditoría locales. En la siguiente tabla se muestran las rutas de directorio local de los registros de auditoría correspondientes a la interfaz del usuario de NetWitness Suite y a los diversos servicios de NetWitness Suite.

                         
Servicio/móduloUbicación del registro de auditoría
NetWitness Suite Interfaz del usuario de
(NetWitness Suite Web Server)
La interfaz del usuario de NetWitness Suite envía registros de auditoría a las siguientes ubicaciones:
  • /var/lib/netwitness/uax/logs/audit/audit.log (formato en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
La interfaz del usuario de NetWitness Suite utiliza la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (/var/lib/netwitness/uax/logs/audit/audit.log).
Servicios principales (Decoder, Log Decoder, Concentrator, Broker y Archiver), Log Collector,
Warehouse Connector, Workbench e IPDB Extractor
Los servicios principales y los servicios similares envían registros de auditoría a syslog que se ejecuta en el host local. 
Ruta: /var/log/secure (formato JSON)

Los servicios principales usan la funcionalidad AUTHPRIV de syslog para escribir registros de auditoría en syslog.
Reporting Engine,
Malware Analysis,
RESPOND y
Event Stream Analysis (ESA)
Estos servicios envían registros de auditoría a las siguientes ubicaciones:
  • <application home directory>/logs/audit/audit.log (formato en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
Las siguientes son las ubicaciones de los registros de auditoría de estos servicios:
Reporting Engine: 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Servidor de Respond

/var/log/netwitness/respond-server/respond-server-audit.log

 

Malware Analysis:
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis:
/opt/rsa/esa/logs/audit/audit.log

Estos servicios usan la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (<application home directory>/logs/audit/audit.log).
Estado y condición, Administración de orígenes de eventos (ESM) y Agrupación de dispositivos y servicios (ASG)Estos servicios envían registros de auditoría a las siguientes ubicaciones:
  • /opt/rsa/sms/logs/audit/audit.log (formato en lenguaje natural)
  • Syslog que se ejecuta en el host local (formato JSON)
Estos servicios usan la funcionalidad AUTH de syslog para escribir registros de auditoría en syslog. Solo puede ver registros de auditoría en la primera ubicación (/opt/rsa/sms/logs/audit/audit.log).
You are here
Table of Contents > Procedimientos adicionales > Ubicaciones de los registros de auditoría locales

Attachments

    Outcomes