Cfg de NW : Emplacements des logs d'audit locaux

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

NetWitness Suite possède des fonctionnalités de consignation d'audit globale. Lorsque vous configurez une consignation d'audit globale, les logs d'audit de tous les composants NetWitness Suite effectuent la collecte dans un système centralisé, qui les convertit au format requis et les transfère à un serveur syslog tiers ou un Log Decoder. 

Pour afficher les logs d'audit à partir des services individuels, vous pouvez consulter les emplacements des logs d'audit locaux. Le tableau suivant présente les chemins de répertoire locaux des logs d'audit pour l'interface utilisateur NetWitness Suite et les différents services NetWitness Suite.

                         
Service/ModuleEmplacement du log d'audit
NetWitness Suite Interface utilisateur
(serveur Web NetWitness Suite)
L'interface utilisateur NetWitness Suite envoie des logs d'audit aux emplacements suivants :
  • /var/lib/netwitness/uax/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
L'interface NetWitness Suite utilise la fonctionnalité AUTH de syslog pour écrire les logs d'audit dans syslog. Vous ne pouvez voir les logs d'audit que dans le premier emplacement (/var/lib/netwitness/uax/logs/audit/audit.log).
Services Core (Decoder, Log Decoder, Concentrator, Broker, and Archiver), Log Collector,
Warehouse Connector, Workbench et IPDB Extractor
Les services Core et les services similaires envoient des logs d'audit à l'instance Syslog s'exécutant sur l'hôte local. 
Chemin : /var/log/secure (format JSON)

Les services Core utilisent la fonctionnalité AUTHPRIV de Syslog pour écrire des logs d'audit dans Syslog.
Reporting Engine,
Malware Analysis
RÉPONDRE et
Event Stream Analysis (ESA)
Ces services envoient des logs d'audit aux emplacements suivants :
  • <application home directory>/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
Les éléments suivants sont les emplacements de log d'audit de ces services :
Reporting Engine : 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Serveur Respond

/var/log/netwitness/respond-server/respond-server-audit.log

 

Malware Analysis :
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis :
/opt/rsa/esa/logs/audit/audit.log

Ces services utilisent la fonctionnalité AUTH de syslog pour écrire des logs d'audit dans syslog. Vous ne pouvez afficher les logs d'audit que dans le premier emplacement (<application home directory>/logs/audit/audit.log).
Intégrité, Gestion des sources d'événements (ESM) et Appliance and Service Grouping (ASG)Ces services envoient des logs d'audit aux emplacements suivants :
  • /opt/rsa/sms/logs/audit/audit.log (format lisible)
  • Syslog s'exécutant sur l'hôte local (format JSON)
Ces services utilisent la fonctionnalité AUTH de syslog pour écrire des logs d'audit dans syslog. Vous ne pouvez afficher les logs d'audit que dans le premier emplacement (répertoire de base de l'application/logs/audit/audit.log).
You are here
Table of Contents > Procédures additionnelles > Emplacements des logs d'audit locaux

Attachments

    Outcomes