Skip to main content

Journaux d'authentification

Vous avez accès aux enregistrements de l'activité du système impliquant la connexion et la déconnexion. Les événements de sécurité de haut niveau sont enregistrés à des fins d'audit. Les types d'événements de sécurité couvrent les activités à haut risque. Cela permet le suivi et l'identification de la source de l'événement par le biais de l'analyse de l'adresse Internet source, de la session source, du code utilisateur et de l'heure de l'événement enregistrés.

Les entrées de journal sont basées sur des normes industrielles pour l'identification et la description des événements de sécurité qui peuvent être générés par des attaques système leur permettant d'être importées/utilisées avec des outils tiers pour le rapport d'analyse judiciaire. En outre, certains événements spécifiques sont immédiatement identifiables à la consultation des journaux.

La page Journaux d'authentification comprend une puissance filtre de recherche, une zone de résumé du journal pour résumer les événements contenus dans le journal et un volet Détails du message en bas de la page pour afficher les détails des événements, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal.

Important

Les journaux d'authentification sont conservés jusqu'à leur suppression explicite. La table de journalisation du fournisseur d'authentification est conservée pendant 10 jours.

Il existe deux façons d'accéder à la page Journaux d'authentification :

  1. Dans le panneau de configuration de l'administrateur, dans la section Intégrations, sélectionnez Authentification. Sélectionnez ensuite Afficher les journaux d'authentification.

  2. Dans le panneau de configuration de l'administrateur, dans la section Outils et utilitaires, sélectionnez Journaux. Sélectionnez ensuite Journaux d'authentification.

Page Journaux d'authentification

Le journal affiche tous les événements d'authentification, y compris le type d'événement, le nom d'utilisateur, l'adresse IP, la date et le fournisseur concerné. Sélectionnez une entrée dans le tableau du journal pour afficher plus d'informations dans la fenêtre Détails du message.

  • Utilisez le filtre de recherche pour rechercher une activité spécifique et filtrez par utilisateur, fournisseur d'authentification, type d'événement et date.

  • Actualisez l'affichage afin que les entrées de journal les plus récentes correspondant au choix du filtre apparaissent.

  • Clear Counts efface les indicateurs du nombre de messages dans la section Résumé du journal pour faciliter le dépannage.

  • Le volet Détails du message vous permet de consulter les détails de l'événement, notamment la classe et le type du gestionnaire, l'agent utilisateur et le message du journal. Sélectionnez un événement dans la section Résumé du journal pour afficher les détails du message correspondant à cet événement.

Astuce

Avec les fournisseurs d'authentification de type REDIRECT, tels que CAS, il est possible que certains événements d'authentification ne soient pas journalisés, car ils se sont produits sur le serveur de source d'authentification.

Types d'événement

Le journal présente cinq événements :

  • Connexions

  • Déconnexions ; des informations supplémentaires indiquent si une déconnexion était manuelle ou due à l'expiration de la session.

  • Tentatives de connexion

  • Messages

  • Erreurs

Exemples d'entrées de journal par scénario

La fenêtre Détails du message affiche le message détaillé du journal pour un événement. Le tableau suivant répertorie des exemples de journaux pour les événements courants.

#

Cas de figure

Ligne d'exemple

1

Connexion réussie, via la page de connexion

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

2

Échec de la connexion, nom d'utilisateur incorrect, via la page de connexion

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

3

Échec de la connexion, mot de passe incorrect, via la page de connexion

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

4

Identifiant créé, via un outil à utilisation unique

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent=

5

Échec de la connexion, jeton incorrect, via un outil à utilisation unique

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

6

Échec de la connexion, code d'entrée incorrect, via un outil à utilisation unique

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

7

Connexion réussie, via un outil à utilisation unique

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30

8

La session a expiré

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent=

9

Déconnexion

timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30