NW Cfg: Lokale Speicherorte für Auditprotokolle

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite verfügt über globale Auditprotokollierungsfunktionen. Wenn Sie die globale Auditprotokollierung konfigurieren, werden die Auditprotokolle sämtlicher NetWitness Suite-Komponenten in einem zentralen System erfasst. Dieses konvertiert die Protokolle in das erforderliche Format und leitet sie an einen Syslog-Server eines Drittanbieters oder an einen Log Decoder weiter. 

Wenn Sie die Auditprotokolle der einzelnen Services ansehen möchten, finden Sie sie in den lokalen Speicherorten der Auditprotokolle. Die folgende Tabelle enthält die lokalen Verzeichnispfade der Auditprotokolle für die NetWitness Suite-Benutzeroberfläche und die verschiedenen NetWitness Suite-Services.

                         
Service/ModulDetails zum Auditprotokoll
NetWitness Suite-Benutzeroberfläche
(NetWitness Suite Web Server)
Die NetWitness Suite-Benutzeroberfläche sendet Auditprotokolle an die folgenden Speicherorte:
  • /var/lib/netwitness/uax/logs/audit/audit.log (für Menschen lesbares Format)
  • Syslog, auf dem lokalen Host ausgeführt (JSON-Format)
Die NetWitness Suite-Benutzeroberfläche verwendet das Syslog-Facility-Feld AUTH zum Schreiben von Auditprotokollen an Syslog. Sie können die Auditprotokolle nur im ersten Speicherort anzeigen (/var/lib/netwitness/uax/logs/audit/audit.log).
Core-Services (Decoder, Log Decoder, Concentrator, Broker und Archiver), Log Collector,
Warehouse Connector, Workbench und IPDB Extractor
Die Core-Services und vergleichbare Services senden Auditprotokolle an Syslog, das auf dem lokalen Host ausgeführt wird.
Pfad: /var/log/secure (JSON-Format)

Die Core-Services verwenden das Syslog-Facility-Feld AUTHPRIV zum Schreiben von Auditprotokollen an Syslog.
Reporting Engine,
Malware Analysis,
Reagieren und
Event Stream Analysis (ESA)
Diese Services senden Auditprotokolle an die folgenden Speicherorte:
  • <Anwendungsstammverzeichnis>/logs/audit/audit.log (für Menschen lesbares Format)
  • Syslog, auf dem lokalen Host ausgeführt (JSON-Format)
Die Auditprotokolle dieser Services werden an folgenden Orten gespeichert:
Reporting Engine: 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Antwortserver

/var/log/netwitness/respond-server/respond-server-audit.log

 

Malware Analysis:
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis:
/opt/rsa/esa/logs/audit/audit.log

Diese Services verwenden das Syslog-Facility-Feld AUTH, um Auditprotokolle an Syslog zu schreiben. Sie können die Auditprotokolle nur im ersten Speicherort sehen (<Anwendungsstammverzeichnis>/logs/audit/audit.log).
Integrität und Zustand, Ereignisquellenmanagement (Event Source Management, ESM) und Appliance and Service Grouping (ASG)Diese Services senden Auditprotokolle an die folgenden Speicherorte:
  • /opt/rsa/sms/logs/audit/audit.log (für Menschen lesbares Format)
  • Syslog, auf dem lokalen Host ausgeführt (JSON-Format)
Diese Services verwenden das Syslog-Facility-Feld „AUTH“ zum Schreiben von Auditprotokollen an Syslog. Sie können die Auditprotokolle nur im ersten Speicherort anzeigen (/opt/rsa/sms/logs/audit/audit.log).
You are here
Table of Contents > Zusätzliche Verfahren > Lokale Speicherorte für Auditprotokolle

Attachments

    Outcomes