Journalisation d'audit
Suggérer des modifications
PDF
Vous pouvez détecter si les journaux d'audit ont été compromis à l'aide des journaux d'audit. Toutes les activités effectuées par un utilisateur sont surveillées et enregistrées dans les journaux d’audit. Les audits sont effectués pour toutes les fonctionnalités de l'interface utilisateur et des API exposées publiquement d' Active IQ Unified Manager.
Vous pouvez utiliser Journal d'audit : Affichage des fichiers pour afficher et accéder à tous les fichiers journaux d'audit disponibles dans votre Active IQ Unified Manager. Les fichiers dans le journal d'audit : vue Fichier sont répertoriés en fonction de leur date de création. Cette vue affiche les informations de tous les journaux d'audit capturés depuis l'installation ou la mise à niveau jusqu'à ceux présents dans le système. Chaque fois que vous effectuez une action dans Unified Manager, les informations sont mises à jour et sont disponibles dans les journaux. L'état de chaque fichier journal est capturé à l'aide de l'attribut « État d'intégrité du fichier » qui est surveillé activement pour détecter toute falsification ou suppression du fichier journal. Les journaux d’audit peuvent avoir l’un des états suivants lorsque les journaux d’audit sont disponibles dans le système :
| État | Description |
|---|---|
ACTIF |
Fichier dans lequel les journaux sont actuellement enregistrés. |
NORMALE |
Fichier inactif, compressé et stocké dans le système. |
Altéré |
Fichier qui a été compromis par un utilisateur qui a modifié manuellement le fichier. |
SUPPRESSION_MANUELLE |
Fichier qui a été supprimé par un utilisateur autorisé. |
SUPPRIMER_PAR_ROULEMENT |
Fichier qui a été supprimé en raison d'une mise à l'arrêt basée sur la politique de configuration continue. |
SUPPRESSION_INATTENDUE |
Fichier qui a été supprimé pour des raisons inconnues. |
La page Journal d’audit comprend les boutons de commande suivants :
-
Configure
-
Supprimer
-
Télécharger
Le bouton SUPPRIMER vous permet de supprimer l'un des journaux d'audit répertoriés dans la vue Journaux d'audit. Vous pouvez supprimer un journal d'audit et éventuellement fournir une raison pour supprimer le fichier, ce qui permet à l'avenir de déterminer une suppression valide. La colonne RAISON répertorie la raison ainsi que le nom de l'utilisateur qui a effectué l'opération de suppression.
|
La suppression d'un fichier journal entraînera la suppression du fichier du système, mais l'entrée dans la table de base de données ne sera pas supprimée. |
Vous pouvez télécharger les journaux d'audit depuis Active IQ Unified Manager à l'aide du bouton TÉLÉCHARGER dans la section Journaux d'audit et exporter les fichiers journaux d'audit. Les fichiers marqués « NORMAL » ou « TAMPERED » sont téléchargés dans un format compressé. .gzip format.
Les fichiers journaux d’audit sont archivés périodiquement et enregistrés dans la base de données pour référence. Avant l'archivage, les journaux d'audit sont signés numériquement pour maintenir la sécurité et l'intégrité.
Lorsqu'un bundle AutoSupport complet est généré, le bundle de support inclut les fichiers journaux d'audit archivés et actifs. Mais lorsqu'un bundle de support léger est généré, il inclut uniquement les journaux d'audit actifs. Les journaux d’audit archivés ne sont pas inclus.