Globale Auditprotokollierung bietet NetWitness Suite-Prüfern konsolidierte Einsichten in Benutzeraktivitäten innerhalb von NetWitness Suite in Echtzeit an zentraler Stelle. Diese Einsichten umfassen vom NetWitness Suite-System erfasste Auditprotokolle und die verschiedenen Services in der gesamten NetWitness Suite-Infrastruktur.
NetWitness Suite-Auditprotokolle werden in einem zentralen System gesammelt, das sie in das erforderliche Format konvertiert und an ein externes Syslog-System weiterleitet. Bei dem externen Syslog-System kann es sich um einen Syslog-Server eines Drittanbieters oder einen Log Decoder handeln.
Sie konfigurieren die globale Auditprotokollierung im Bereich „Globale Auditprotokollierungskonfigurationen“. Eine Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder der Auditprotokolleinträge. Die Konfiguration des Syslog-Benachrichtigungsservers definiert das Ziel, an das die Auditprotokolle gesendet werden. Wenn Sie Auditprotokolle an einen Log Decoder weiterleiten möchten, konfigurieren Sie einen Syslog-Benachrichtigungsservertyp für den Log Decoder.
Nachfolgend sind einige Benutzeraktionen aufgeführt, die von NetWitness Suite protokolliert werden:
- Erfolgreiche Benutzeranmeldung
- User login failure
- Benutzerabmeldungen
- Maximale Anzahl fehlgeschlagener Anmeldeversuche überschritten
- Alle aufgerufenen Seiten der Benutzeroberfläche
- Gespeicherte Konfigurationsänderungen (einschließlich Änderung des eigenen Benutzerpassworts)
- Vom Benutzer durchgeführte Abfragen
- Verweigerte Benutzerzugriffe
- Datenexportvorgänge
Nachdem Sie eine globale Auditprotokollierungskonfiguration erstellt haben, gehen Auditprotokolle, die diese Benutzeraktionen enthalten, automatisch in das externe Syslog-System ein. Dabei wird das Format verwendet, das in der ausgewählten Auditprotokollierungsvorlage angegeben wurde. Sie können mehrere globale Auditprotokollierungskonfigurationen für verschiedene Ziele erstellen, die verschiedene Vorlagen verwenden. So können Sie zum Beispiel eine globale Auditprotokollierungskonfiguration für einen externen Syslog-Server erstellen, mit einer Vorlage, die alle verfügbaren Metaschlüssel enthält, und eine andere Konfiguration für einen Log Decoder mit einer Vorlage, die ausgewählte Metaschlüssel enthält.
Für Log Decoder verwenden Sie die Audit-CEF-Standardvorlage. Sie können Felder zu der CEF (Common Event Format)-Vorlage hinzufügen oder aus ihr entfernen, wenn Sie spezielle Anforderungen haben. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Variablen werden im Abschnitt Unterstützte CEF-Metaschlüssel beschrieben.
Für Syslog-Server von Drittanbietern können Sie eine Standard-Auditprotokollierungsvorlage verwenden oder Ihr eigenes Format (CEF oder nicht CEF) definieren. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Variablen werden im Abschnitt Unterstützte Metaschlüsselvariablen für die globale Auditprotokollierung beschrieben.
Prüfer können die Auditprotokolle auf dem ausgewählten Log Decoder oder einem Syslog-Server eines Drittanbieters anzeigen. Wenn sie einen Log Decoder verwenden, können Prüfer die Auditprotokolle mithilfe von NetWitness Suite Investigation oder Reporting anzeigen.
Die folgende Abbildung zeigt globale Auditprotokolle in Investigation (Investigation > Ereignisse).
Beispiele einiger der protokollierten Benutzeraktionen finden Sie in Dialogfeld „Neue Konfiguration hinzufügen“. Eine Liste der Meldungstypen, die von den verschiedenen Komponenten von NetWitness Suite protokolliert werden, finden Sie in der Referenz der globalen Auditprotokollierungsvorgänge.
Globale Auditprotokollierung – übergeordnetes Verfahren
Die globale Auditprotokollierung wird im Bereich „Globale Auditprotokollierungskonfigurationen“ konfiguriert, der über Ansicht „Administration-System“ > Globales Auditing aufgerufen wird. Vor dem Konfigurieren der globalen Auditprotokollierung müssen ein Syslog-Benachrichtigungsserver und eine Auditprotokollierungsvorlage konfiguriert werden. Ein Syslog-Benachrichtigungsserver definiert das Ziel, an das die Auditprotokolle gesendet werden. Eine Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder des Auditprotokolleintrags.
Im Bereich „Globale Auditprotokollierungskonfigurationen“ befindet sich der Link Einstellungen anzeigen, über den Sie zum Bereich „Globale Benachrichtigungen“ gelangen (Ansicht „Administrationssystem > Globale Benachrichtigungen“). Dort können Sie den Syslog-Benachrichtigungsserver und die Auditprotokollierungsvorlage konfigurieren.
Führen Sie zum Konfigurieren der globalen Auditprotokollierung die folgenden Verfahren in der angegebenen Reihenfolge aus.