En este tema se proporcionan instrucciones para verificar registros de auditoría global. Después de configurar el registro de auditoría global, debe probar los registros de auditoría global para asegurarse de que muestren los eventos de auditoría definidos en la plantilla del registro de auditoría global.
Antes de iniciar esta tarea, complete los pasos que se detallan en Configurar el registro de auditoría global.
Para ver y verificar los registros de auditoría global si está usando un Log Decoder:
- Vaya a Investigar > Eventos.
- En la vista Navegar, seleccione el Log Decoder y haga clic en Navegar.
- Compare los campos de los registros de auditoría global con los campos definidos en la plantilla del registro de auditoría global que usó en la configuración del registro de auditoría global.
- Haga doble clic en un registro y, en el cuadro de diálogo Reconstrucción de evento, seleccione Ver metadatos.
- Verifique que los metadatos que desea auditar estén correctos.
Ejemplo de salida de CEF
En el siguiente ejemplo se muestran registros de auditoría global para una plantilla del formato de evento común (CEF) del registro de auditoría.
Plantilla:
CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text} Ejemplo de registros:
2017-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|login|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success
2017-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success
2017-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|11.0.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2017 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success
Donde <hostname> es el nombre de host del encabezado de syslog (alias.host).
Para las plantillas de CEF, si un evento de auditoría no tiene un valor para un campo en la plantilla, el campo se eliminará del evento correspondiente que llega al servidor de syslog de otros fabricantes o al Log Decoder.
Ejemplo de salida en formato en lenguaje natural
En el siguiente ejemplo se muestran registros de auditoría global para una plantilla en el formato en lenguaje natural del registro de auditoría en un servidor de syslog de otros fabricantes.
Plantilla:
${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole} Ejemplo de registros:
06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY
Apr 06 2017 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY
Apr 06 2017 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY
On this page
