Cfg de NW : Vérifier les logs d'audits globaux

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions sur le mode de configuration des logs d'audit globaux. Après avoir configuré la consignation globale des audits, il est recommandé de tester vos logs d'audit globaux pour vous assurer qu'ils contiennent les événements d'audit tels que définis dans votre modèle de consignation des audits global. 

Avant de démarrer cette tâche, suivez les étapes détaillées dans Configurer la consignation globale des audits.

Pour afficher et vérifier les logs d'audit globaux, si vous utilisez un Log Decoder :

  1. Accédez à Enquêter > Événements.
  2. Dans la vue Parcourir, sélectionnez le Log Decoder et cliquez sur Parcourir.
  3. Comparez les champs dans les logs d'audit globaux avec les champs définis dans le modèle de consignation des audits global que vous avez utilisé dans votre configuration de consignation d'audit globale.
  4. Double-cliquez sur un log, puis, dans la boîte de dialogue Reconstruction d'événement, sélectionnez Afficher les métadonnées.
  5. Vérifiez que les métadonnées que vous souhaitez auditer sont correctes. 

Exemple de sortie CEF

L'exemple suivant affiche les logs d'audit globaux pour un modèle de consignation des audits Common Event Format (CEF).

Modèle :

 CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  

Exemples de logs :

2017-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|login|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

2017-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success

2017-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

<hostname> est le nom d'hôte de l'en-tête syslog (alias.host).

Pour les modèles CEF, si un événement d'audit ne possède pas de valeur pour un champ dans le modèle, le champ de l'événement correspondant arrivant sur le serveur syslog tiers ou le Log Decoder sera supprimé.

Exemple de sortie au format lisible

L'exemple suivant présente des logs d'audit globaux pour un modèle de format lisible de consignation d'audit sur un serveur syslog tiers.

Modèle :

 ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  

Exemples de logs :

06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2017 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits > Vérifier les logs d'audits globaux

Attachments

    Outcomes