NW Cfg: Definieren einer Vorlage für die globale Auditprotokollierung

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Informationen zum Definieren einer Auditprotokollierungsvorlage für die globale Auditprotokollierung. Konfigurieren Sie vor der Konfiguration der globalen Auditprotokollierung zunächst einen Syslog-Benachrichtigungsserver und wählen Sie eine Auditprotokollierungsvorlage aus. Sie können eine standardmäßige Auditprotokollierungsvorlage auswählen oder Ihre eigene Vorlage definieren. 

NetWitness Suite enthält zwei standardmäßige Auditprotokollierungsvorlagen:

  • Audit-CEF-Standardvorlage: Sie können diese Vorlage für Log Decoders und Syslog-Server von Drittanbietern verwenden.
  • Audit-Standardvorlage Menschenlesbares Format: Sie können diese Vorlage nur für Syslog-Server von Drittanbietern verwenden. Leiten Sie Meldungen von dieser Vorlage nicht an einen Log Decoder weiter.

Das erste Verfahren enthält Anweisungen zum Definieren einer Auditprotokollierungsvorlage für einen Log Decoder. Die Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder der Auditprotokolle, die an den Log Decoder oder Syslog-Server eines Drittanbieters gesendet werden.

Globale Auditprotokollierungsvorlagen, die Sie für einen Log Decoder definieren, verwenden CEF (Common Event Format) und müssen die folgenden spezifischen Standardanforderungen erfüllen:

  • Die CEF-Header müssen in der Vorlage enthalten sein.
  • Verwenden Sie nur die Erweiterungen (Schlüssel=Wert), die in der Tabelle Unterstützte CEF-Metaschlüssel aufgeführt sind.
  • Vergewissern Sie sich, dass die Erweiterungen im Format key=${string}<space>key=${string} sind. 

Das zweite Verfahren bietet Anweisungen zum Definieren einer benutzerdefinierten globalen Auditprotokollierungsvorlage im für Menschen lesbaren Format für einen Syslog-Server eines Drittanbieters. Für Syslog-Server von Drittanbietern können Sie Ihr eigenes Format (CEF oder Nicht-CEF) definieren.

Definieren einer globalen Auditprotokollierungsvorlage für einen Log Decoder

Sie können die Audit-CEF-Standardvorlage verwenden, um globale Auditprotokolle an einen Log Decoder zu senden. So definieren Sie eigene Vorlagen:

  1. Navigieren Sie zu ADMINISTRATION > System.
  2. Wählen Sie im Optionsbereich Globale Benachrichtigungen aus.
  3. Klicken Sie auf die Registerkarte Vorlagen.
  4. Klicken Sie auf , um eine Vorlage zu konfigurieren.
  5. Geben Sie im Dialogfeld Vorlage definieren folgende Informationen ein:
    1. Geben Sie im Feld Name einen Namen für die Vorlage ein.
    2. Wählen Sie im Feld Vorlagentyp den Vorlagentyp Auditprotokollierung aus.
    3. Geben Sie in das Feld Beschreibung eine kurze Beschreibung der Vorlage ein.
    4. Geben Sie im Feld Vorlage das Format für die Auditprotokollierungsvorlage an.
      Das folgende Format ist ein Beispiel für eine benutzerdefinierte Vorlage. Es unterscheidet sich von der Standard-CEF-Vorlage.
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      Der hervorgehobene CEF-Syslog-Header dient der Erfüllung der Anforderungen des CEF-Standards und ist für den CEF-Parser im Log Decoder erforderlich. Die anderen Schlüssel sind optional und können konfiguriert werden. Alle unterstützten Metaschlüssel, die vom CEF-Parser im Log Decoder unterstützt werden, sind in der Tabelle Unterstützte CEF-Metaschlüssel aufgeführt.
  6. Hinweis: Verwenden Sie alle Erweiterungen im folgenden Format: 
    deviceProcessName=${deviceProcessName} outcome=${outcome}
    Fügen Sie ein <space> zwischen jedem key=${string}-Paar im Erweiterungsschlüssel-Abschnitt ein. 

  7. Klicken Sie auf Speichern.
    Define Template Dialog box

Vergewissern Sie sich nach dem Definieren der CEF-Auditprotokollierungsvorlage, dass Sie den neuesten CEF-Parser (Common Event Format) von Live bereitgestellt und aktiviert haben. Anweisungen hierzu finden Sie unter „Suchen und Bereitstellen von Live-Ressourcen“ und „Aktivieren und Deaktivieren von Protokollparsern“. 

Hinweis: Wenn Sie einen bestimmten Metaschlüssel für Investigation und Reporting benötigen, vergewissern Sie sich, dass die von Ihnen ausgewählten Metaschlüssel in der Datei table-map.xml auf dem Log Decoder indexiert sind. Wenn sie nicht indexiert sind, gehen Sie gemäß dem Thema „Pflege der Tabellenzuordnungsdateien“ im Leitfaden zur Host- und Servicekonfiguration vor, um die Tabellenzuordnungen zu aktualisieren. Stellen Sie sicher, dass die Metaschlüssel in der Datei index-concentrator.xml auf dem Concentrator ebenfalls indexiert sind. Unter dem Thema „Bearbeiten einer Serviceindexdatei im Leitfaden zur Host- und Servicekonfiguration finden Sie weitere Informationen.

Definieren einer benutzerdefinierten globalen Auditprotokollierungsvorlage

Für Drittanbieter-Syslog-Server können Sie Ihr eigenes Vorlagenformat definieren (CEF oder kein CEF). Sie können die Audit-Standardvorlage Menschenlesbares Format verwenden, um globale Auditprotokolle an einen Drittanbieter-Syslog-Server in einem Format zu senden, das leichter zu lesen ist als das CEF-Format. Wenn Sie Ihre eigene Vorlage in einem für Menschen lesbaren Format definieren möchten, gehen Sie folgendermaßen vor.

Für Log Decoder müssen Sie eine CEF-Vorlage mit einigen speziellen Anforderungen verwenden. Das Verfahren Definieren einer Auditprotokollierungsvorlage für einen Log Decoder oben enthält Anweisungen zur Erstellung einer Vorlage im CEF-Format.

So definieren Sie eine benutzerdefinierte globale Auditprotokollierungsvorlage im für Menschen lesbaren Format:

  1. Navigieren Sie zu ADMIN > System.
  2. Wählen Sie im linken Navigationsbereich Benachrichtigungen aus.
  3. Klicken Sie auf die Registerkarte Vorlagen.
  4. Klicken Sie auf , um eine Vorlage zu konfigurieren.
  5. Geben Sie im Dialogfeld Vorlage definieren folgende Informationen ein:
    1. Geben Sie im Feld Name einen Namen für die Vorlage ein.
    2. Wählen Sie im Feld Vorlagentyp den Vorlagentyp Auditprotokollierung aus.
    3. Geben Sie in das Feld Beschreibung eine kurze Beschreibung der Vorlage ein.
    4. Geben Sie im Feld Vorlage das Format für die Auditprotokollierungsvorlage an. Das folgende Beispiel ist im für Menschen lesbaren Format mit ausgewählten Metaschlüsselvariablen dargestellt.
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      Sie können alle Metaschlüsselvariablen verwenden, die von der globalen Auditprotokollierung unterstützt werden. Diese sind in der Tabelle Unterstützte Metaschlüsselvariablen für die globale Auditprotokollierung aufgeführt.
  6. Klicken Sie auf Speichern.

Das folgende Beispiel zeigt globale Auditprotokolle im für Menschen lesbaren Format zu dieser Vorlage an:

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 NW_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Nächster Schritt

Unter Definieren einer globalen Auditprotokollierungskonfiguration finden Sie Anweisungen zur Definition einer globalen Auditprotokollierungskonfiguration für NetWitness Suite.

You are here
Table of Contents > Standardverfahren > Konfigurieren der globalen Auditprotokollierung > Definieren einer Vorlage für die globale Auditprotokollierung

Attachments

    Outcomes