NW Cfg: Überprüfen von globalen Auditprotokollen

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Anleitungen zum Überprüfen von globalen Auditprotokollen. Nach dem Konfigurieren der globalen Auditprotokollierung sollten Sie Ihre globalen Auditprotokolle testen, um sich zu vergewissern, dass die Auditereignisse entsprechend der Definition in Ihrer globalen Auditprotokollierungsvorlage aufgeführt werden. 

Bevor Sie mit dieser Aufgabe beginnen, führen Sie die unter Konfigurieren der globalen Auditprotokollierung beschriebenen Schritte aus.

So zeigen Sie die globalen Auditprotokolle an und überprüfen sie, wenn Sie einen Log Decoder verwenden:

  1. Navigieren Sie zu Untersuchen > Ereignisse.
  2. Wählen Sie aus der Navigationsansicht heraus den Log Decoder aus und klicken Sie auf Navigieren.
  3. Vergleichen Sie die Felder in den globalen Auditprotokollen mit den Feldern, die in der Vorlage für die globale Auditprotokollierung definiert wurden, die Sie in Ihrer globalen Auditprotokollierungskonfiguration verwendet haben.
  4. Doppelklicken Sie auf ein Protokoll und wählen Sie im Dialogfeld „Ereignisrekonstruktion“ die Option Metadaten anzeigen aus.
  5. Überprüfen Sie, ob die Metadaten, die Sie prüfen möchten, korrekt sind. 

Beispiel für CEF-Ausgabe

Das folgende Beispiel zeigt globale Auditprotokolle für eine CEF (Common Event Format)-Vorlage für Auditprotokolle.

Vorlage:

 CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  

Beispielprotokolle:

2017-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|login|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

2017-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success

2017-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

Wobei <hostname> der Syslog-Header-Hostname (alias.host) ist.

Für CEF-Vorlagen gilt, wenn ein Auditereignis für ein Feld in einer Vorlage keinen Wert hat, dann wird das entsprechende Ereignis, das auf einem Syslog-Server oder Log Decoder eines Drittanbieters eingeht, dazu führen, dass das Feld entfernt wird.

Beispiel für Ausgabe in für Menschen lesbarem Format

Das folgende Beispiel zeigt globale Auditprotokolle für eine Auditprotokollvorlage in für Menschen lesbarem Format auf einem Drittanbieter-Syslog-Server an.

Vorlage:

 ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  

Beispielprotokolle:

06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2017 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

You are here
Table of Contents > Standardverfahren > Konfigurieren der globalen Auditprotokollierung > Überprüfen von globalen Auditprotokollen

Attachments

    Outcomes