El registro de auditoría global proporciona a los auditores de NetWitness Suite la visibilidad consolidada en tiempo real de las actividades de los usuarios dentro de NetWitness Suite desde una ubicación centralizada. Esta visibilidad incluye registros de auditoría recopilados desde el sistema NetWitness Suite y los diversos servicios en toda la infraestructura de NetWitness Suite.
Los registros de auditoría de NetWitness Suite se recopilan en un sistema centralizado que los convierte al formato requerido y los reenvía a un sistema de syslog externo. El sistema de syslog externo puede ser un servidor de syslog de otros fabricantes o un Log Decoder.
El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global. Una plantilla del registro de auditoría define el formato y los campos de mensajes de las entradas del registro de auditoría. Una configuración de servidor de notificación de syslog define el destino para enviar los registros de auditoría. Si desea reenviar registros de auditoría a un Log Decoder, configure un tipo de servidor de notificación de syslog para el Log Decoder.
Las siguientes son algunas de las acciones de los usuarios que se registran desde NetWitness Suite:
- Sesión iniciada correctamente del usuario
- Error de inicio de sesión del usuario
- Cierres de sesión del usuario
- Máximo de errores al iniciar sesión superado
- Todas las páginas de la interfaz del usuario a las cuales se accedió
- Cambios en la configuración confirmados (incluido cuando un usuario cambia su propia contraseña)
- Consultas que realizó el usuario
- Acceso del usuario denegado
- Operaciones de exportación de datos
Después de que crea una configuración del registro de auditoría global, los registros de auditoría que contienen estas acciones de usuario se dirigen automáticamente al sistema de syslog externo en el formato especificado en la plantilla del registro de auditoría seleccionada. Puede crear múltiples configuraciones del registro de auditoría global para distintos destinos que usan distintas plantillas. Por ejemplo, puede crear una configuración del registro de auditoría global para un servidor de syslog externo con una plantilla que contiene todas las claves de metadatos disponibles, y otra para un Log Decoder con una plantilla que contiene claves de metadatos seleccionadas.
Para Log Decoders, use Default Audit CEF Template. Puede agregar o eliminar campos de la plantilla del formato de evento común (CEF) si tiene requisitos específicos. En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones y en Claves de metadatos de CEF compatibles se describen las claves de metadatos de CEF disponibles para usar en las plantillas del registro de auditoría.
Para servidores de syslog de otros fabricantes, puede usar una plantilla del registro de auditoría predeterminada o definir un formato propio (CEF o no CEF). En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones y en Variables de claves de metadatos del registro de auditoría global compatibles se describen las variables disponibles.
Los auditores pueden ver los registros de auditoría en el Log Decoder seleccionado o en un servidor de syslog de otros fabricantes. Si usan un Log Decoder, los auditores pueden ver los registros de auditoría mediante NetWitness Suite Investigation o Reports.
En la siguiente figura se muestran registros auditoría global en Investigation (Investigation > Eventos).
Para obtener ejemplos de algunas de las acciones de los usuarios que se registran, consulte Cuadro de diálogo Agregar nueva configuración. Para obtener una lista de los tipos de mensajes que registran los diversos componentes de NetWitness Suite, consulte Referencia de operaciones del registro de auditoría global.
Registro de auditoría global: procedimiento general
El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global, al cual se accede desde la vista Sistema > Auditoría global de Administration. Antes de que pueda configurar el registro de auditoría global, debe configurar un servidor de notificación de syslog y una plantilla del registro de auditoría. Un servidor de notificación de syslog define el destino al cual se envían los registros de auditoría. Una plantilla del registro de auditoría define el formato y los campos de mensajes de la entrada del registro de auditoría.
El panel Configuraciones de registro de auditoría global proporciona un vínculo ver configuración que lo lleva al panel Notificaciones globales (vista Sistema > Notificaciones globales de Administration), donde puede configurar el servidor de notificación de syslog y la plantilla del registro de auditoría.
Realice los siguientes procedimientos en el orden que se muestra para configurar el registro de auditoría global.
On this page
