验证日志
您有权访问有关登录和注销的系统活动记录。系统会记录高级别安全事件以用于审计目的。安全事件的类型涵盖高风险活动,从而使您能够通过分析记录的源 Internet 地址、源会话、用户 ID 和事件时间来跟踪事件和识别事件来源。
日志条目基于有关识别和描述安全事件的行业标准,安全事件可能是系统攻击的结果,非常适合导入/与第三方工具配合使用以用于鉴证分析报告。此外,日志本身还可以标识特定事件,使其在日志中即时可见。
“身份验证日志”页面包括一个功能强大的搜索过滤器、一个用于汇总日志中事件的“日志摘要”区域,以及页面底部的一个“消息详细信息”窗格,用于显示事件详细信息,包括处理程序类和类型、用户代理和日志消息。
重要
身份验证日志将保留,直到显式删除。身份验证提供程序日志表保留 10 天。
访问“验证日志”页面的方式有以下两种:
在管理员面板的集成部分中,选择验证。然后,选择查看身份验证日志。
在管理员面板的工具和实用工具部分,选择日志。然后,选择身份验证日志。
“验证日志”页面
该日志将显示所有验证事件,包括事件类型、用户名、IP 地址、日期和涉及的提供程序。在日志表中选择一个条目,以在“消息详细信息”窗口中显示更多信息。
使用搜索筛选器搜索特定活动,并按用户、身份验证提供程序、事件类型和日期进行筛选。
刷新显示,以便显示与过滤器选择匹配的最新日志条目。
清除计数清除日志摘要部分中的邮件计数指示器,以帮助进行故障排除。
通过“消息详细信息”窗格,可以查看事件详细信息,包括处理程序类和类型、用户代理和日志消息。在“日志摘要”部分中选择一个事件以显示该事件的“消息详细信息”。
提示
使用 REDIRECT 类型的验证提供程序(如 CAS),有些验证事件可能无法得到记录,因为其发生在验证源服务器上。
事件类型
该日志显示五种事件:
登录
注销,其他信息将显示是手动注销还是由于会话过期而注销。
登录尝试
消息
错误
按方案划分的示例日志条目
“消息详细信息”窗口显示事件的详细日志消息。下表显示了常见事件的一些日志示例。
# | 情景 | 示例行 |
|---|---|---|
1 | 登录成功,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
2 | 登录失败,用户名错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser=fakeusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
3 | 登录失败,密码错误,通过登录页面 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=2|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
4 | 创建登录,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=7|evt_name=login created|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=one time login created|authnmethod=one time login tool|http_useragent= |
5 | 登录失败,令牌错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=1|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid= |duser= |text=login failed due to invalid token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
6 | 登录失败,输入代码错误,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=2|evt_name=login failed|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=failure|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login failed due to invalid entry code for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
7 | 登录成功,通过一次性工具 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=0|evt_name=login succeeded|sev=8|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=login succeeded for token <token value>|authnmethod=one time login tool|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |
8 | 会话已过期 | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=4|evt_name=session expired|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=session expired|authnmethod= |http_useragent= |
9 | Logout | timestamp=Aug 08 2008 08:08:08.888 EDT|app_vend=blackboard|app_name=learn|app_ver=9.1.80000.0|evt_code=3|evt_name=logout succeeded|sev=0|cat=authentication|authnprovider=1|dhost=appsec-demo|outcome=success|src_ip=10.100.100.100|duid=_x_x|duser=targetusername|text=logout succeeded|authnmethod=login page|http_useragent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30 |