감사 로그

감사 로그 파일 보기

SSH(Secure Shell)를 사용하여 JSA 시스템에 로그인하고 시스템 변경 사항을 모니터링합니다.

Log Activity(로그 활동) 탭을 사용하여 정규화된 감사 로그 이벤트를 볼 수 있습니다.

날짜, 시간 및 호스트 이름을 제외한 모든 감사 메시지의 최대 크기는 1024자입니다.

로그 파일의 각 항목은 다음 형식을 사용하여 표시됩니다.

<date_time> <host name> <user>@<IP address> (thread ID) [<category>] [<sub-category>] [<action>] <payload>

다음 표에서는 로그 파일 형식 옵션에 대해 설명합니다.

표 1: 로그 파일 형식의 일부에 대한 설명

파일 형식 부분	묘사
date_time	활동의 날짜 및 시간(Month Date HH:MM:SS 형식)
host name	이 활동이 기록된 콘솔의 호스트 이름입니다.
user	설정을 변경한 사용자의 이름입니다.
IP address	설정을 변경한 사용자의 IP 주소입니다.
thread ID)	이 활동을 로그한 Java 스레드의 ID입니다.
category	이 활동의 상위 수준 범주입니다.
sub-categor	이 활동의 하위 수준 범주입니다.
action	발생한 활동입니다.
payload	변경된 사용자 레코드 또는 이벤트 규칙을 포함할 수 있는 전체 레코드입니다.

1. SSH를 사용하여 JSA 에 루트 사용자로 로그인합니다.

2. 사용자 이름: root

3. 암호: password

4. 다음 디렉터리로 이동합니다.

   /var/로그/감사

5. 감사 로그 파일을 열고 봅니다.

JSA의 감사 로그 검색에서 보고서 생성

사용자가 JSA와 상호 작용하는 방식을 추적하려면 검색 결과를 기반으로 보고서를 만드십시오.

1. Log Activity(로그 활동) > Add Filter(필터 추가)를 클릭합니다.

2. 필터 추가 창에서 다음 설정을 구성합니다.

   표 2: 구성할 설정

   구성할 설정	값
   매개 변수	로그 소스[indexed]
   연산자	같음
   로그 소스	SIM 감사-2

3. Add Filter(필터 추가)를 클릭합니다.

4. 이벤트가 Log Activity(로그 활동 ) 탭으로 스트리밍되는 경우 Pause(일시 중지)를 클릭합니다.

5. 보기 목록에서 시간 간격을 선택합니다.

6. 검색을 저장하려면 Save Criteria(조건 저장)를 클릭하고 검색 이름을 입력한 다음 OK(확인)를 클릭합니다.

7. 검색결과에서 보고서를 생성하려면 다음 단계를 따르세요.

   1. Reports( 보고서 ) 탭에서 Actions( 작업) > Create(만들기)를 클릭합니다.

   2. 보고서 마법사를 따릅니다.

   3. Saved Searches(저장된 검색) 필드에 SIM 감사 로그 원본에 대해 만든 검색의 이름을 입력합니다.

   4. Save Container Details(컨테이너 세부 정보 저장)를 클릭합니다.

   5. 보고서 마법사 페이지를 마칩니다.

기록된 작업

JSAr 감사 로그는 /var/log/audit 디렉터리에 있습니다.

다음 목록에서는 감사 로그 파일에 있는 작업의 범주에 대해 설명합니다.

• 관리자 인증--

  • 관리 콘솔에 로그인합니다.

  • 관리 콘솔에서 로그아웃합니다.

• 자산--

  • 자산을 삭제합니다.

  • 모든 자산을 삭제합니다.

• Audit Log Access(감사 로그 액세스)--상위 수준 이벤트 범주가 Audit인 이벤트를 포함하는 검색입니다.

• 백업 및 복구--

  • 구성을 편집합니다.

  • 백업을 시작합니다.

  • 백업을 완료합니다.

  • 백업에 실패합니다.

  • 백업을 삭제합니다.

  • 백업을 동기화합니다.

  • 백업을 취소합니다.

  • 복원을 시작합니다.

  • 백업을 업로드합니다.

  • 잘못된 백업을 업로드합니다.

  • 복원을 시작합니다.

  • 백업을 제거합니다.

• 차트 구성-- 흐름 또는 이벤트 차트 구성을 저장합니다.

• 컨텐츠 관리--

  • 콘텐츠 내보내기가 시작되었습니다.

  • 콘텐츠 내보내기가 완료되었습니다.

  • 콘텐츠 가져오기가 시작되었습니다.

  • 콘텐츠 가져오기가 완료되었습니다.

  • 콘텐츠 업데이트가 시작되었습니다.

  • 콘텐츠 업데이트가 완료되었습니다.

  • 콘텐츠 검색이 시작되었습니다.

  • 응용 프로그램이 추가되었습니다.

  • 응용 프로그램이 수정되었습니다.

  • 사용자 지정 작업이 추가되었습니다.

  • 사용자 지정 작업이 수정되었습니다.

  • Ariel 속성이 추가되었습니다.

  • Ariel 속성이 수정되었습니다.

  • Ariel 속성 식이 추가되었습니다.

  • Ariel 속성 표현식이 수정되었습니다.

  • CRE 규칙이 추가되었습니다.

  • CRE 규칙이 수정되었습니다.

  • 대시보드가 추가되었습니다.

  • 대시보드가 수정되었습니다.

  • 장치 확장이 추가되었습니다.

  • 장치 확장이 수정되었습니다.

  • 장치 확장 연결이 수정되었습니다.

  • 그룹화가 추가되었습니다.

  • 그룹화가 수정되었습니다.

  • 기록 상관 관계 프로필이 추가되었습니다.

  • 기록 상관 관계 프로파일이 수정되었습니다.

  • QID 맵 항목이 추가되었습니다.

  • QID 맵 항목이 수정되었습니다.

  • 생성된 참조 데이터.

  • 참조 데이터가 업데이트되었습니다.

  • 보안 프로필이 추가되었습니다.

  • 보안 프로필이 수정되었습니다.

  • 센서 장치가 추가되었습니다.

  • 센서 장치가 수정되었습니다.

• 사용자 지정 속성 --

  • 맞춤 이벤트 속성을 추가합니다.

  • 맞춤 이벤트 속성을 수정합니다.

  • 맞춤 이벤트 속성을 삭제합니다.

  • 사용자 지정 흐름 속성을 편집합니다.

  • 사용자 지정 흐름 속성을 삭제합니다.

• 사용자 지정 속성 표현식--

  • 사용자 지정 이벤트 속성 표현식을 추가합니다.

  • 맞춤 이벤트 속성 표현식을 편집합니다.

  • 사용자 지정 이벤트 속성 표현식을 삭제합니다.

  • 사용자 지정 흐름 속성 표현식을 추가합니다.

  • 사용자 지정 흐름 속성 표현식을 편집합니다.

  • 사용자 지정 흐름 속성 표현식을 삭제합니다.

• 플로우 소스--

  • 플로우 소스를 추가합니다.

  • 플로우 소스를 편집합니다.

  • 플로우 소스를 삭제합니다.

• 그룹--

  • 그룹을 추가합니다.

  • 그룹을 삭제합니다.

  • 그룹을 편집합니다.

• 역사적 상관관계--

  • 히스토리 상관 프로파일을 추가합니다.

  • 히스토리 상관관계 프로파일을 삭제합니다.

  • 기록 상관 관계 프로파일을 수정합니다.

  • 히스토리 상관관계 프로파일을 활성화합니다.

  • 히스토리 상관관계 프로파일을 비활성화합니다.

  • 기록 상관 프로파일이 실행 중입니다.

  • 히스토리 상관 프로파일이 취소됩니다.

• 라이센싱--

  • 라이선스 키를 추가합니다.

  • 라이선스 키를 삭제합니다.

  • 라이선스 풀 할당을 삭제합니다.

  • 라이센스 풀 할당을 업데이트합니다.

• 로그 소스 확장--

  • 로그 소스 확장을 추가합니다.

  • 로그 소스 확장을 편집합니다.

  • 로그 소스 확장을 삭제합니다.

  • 로그 소스 확장을 업로드합니다.

  • 로그 소스 확장을 성공적으로 업로드합니다.

  • 잘못된 로그 소스 확장을 업로드합니다.

  • 로그 소스 확장을 다운로드합니다.

  • 로그 소스 확장을 보고합니다.

  • 디바이스 또는 디바이스 유형에 대한 로그 소스 연결을 수정합니다.

• 위반 행위--

  • 공격을 만듭니다.

  • 불쾌감을 감추세요.

  • 오펜스를 종결합니다.

  • 모든 위반 행위를 종결합니다.

  • 대상 메모를 추가합니다.

  • 원본 메모를 추가합니다.

  • 네트워크 메모를 추가합니다.

  • 공격 메모를 추가합니다.

  • 위반 행위를 종결하는 사유를 추가합니다.

  • 위반 행위 종결 사유를 수정합니다.

• 프로토콜 구성--

  • 프로토콜 구성을 추가합니다.

  • 프로토콜 구성을 삭제합니다.

  • 프로토콜 구성을 편집합니다.

• QID맵--

  • QID 맵 항목을 추가합니다.

  • QID 맵 항목을 편집합니다.

• JSA 취약점 관리자 --

  • 스캐너 일정을 만듭니다.

  • 검사기 일정을 업데이트합니다.

  • 스캐너 일정을 삭제합니다.

  • 스캐너 일정을 시작합니다.

  • 스캐너 일정을 일시 중지합니다.

  • 스캐너 일정을 다시 시작합니다.

• 참조 세트--

  • 참조 세트를 만듭니다.

  • 참조 세트를 편집합니다.

  • 참조 집합의 요소를 제거합니다.

  • 참조 세트를 삭제합니다.

  • 참조 세트 요소를 추가합니다.

  • 참조 세트 요소를 삭제합니다.

  • 모든 참조 세트 요소를 삭제합니다.

  • 참조 세트 요소를 가져옵니다.

  • 참조 세트 요소를 내보냅니다.

• 보고서--

  • 템플릿을 추가합니다.

  • 템플릿을 삭제합니다.

  • 템플릿을 편집합니다.

  • 보고서를 생성합니다.

  • 보고서를 삭제합니다.

  • 생성된 콘텐츠를 삭제합니다.

  • 생성된 보고서를 봅니다.

  • 생성된 보고서를 이메일로 보냅니다.

• 리텐션 버킷--

  • 버킷을 추가합니다.

  • 버킷을 삭제합니다.

  • 버킷을 편집합니다.

  • 버킷을 활성화하거나 비활성화합니다.

• 루트 로그인--

  • JSA에 루트 사용자로 로그인합니다.

  • JSA에서 루트 사용자로 로그아웃합니다.

• 규칙--

  • 규칙을 추가합니다.

  • 규칙을 삭제합니다.

  • 규칙을 편집합니다.

• 스캐너--

  • 스캐너를 추가합니다.

  • 스캐너를 삭제합니다.

  • 스캐너를 편집합니다.

• 스캐너 일정--

  • 일정을 추가합니다.

  • 일정을 편집합니다.

  • 일정을 삭제합니다.

• 세션 인증--

  • 관리 세션을 만듭니다.

  • 관리 세션을 종료합니다.

  • 잘못된 인증 세션을 거부합니다.

  • 세션 인증을 만료합니다.

  • 인증 세션을 생성합니다.

  • 인증 세션을 종료합니다.

• SIM--SIM 모델을 청소합니다.

• 저장 및 전달--

  • 저장 및 전달 일정을 추가합니다.

  • 저장 및 전달 일정을 편집합니다.

  • 저장 및 전달 일정을 삭제합니다.

• Syslog 포워딩--

  • syslog 전달을 추가합니다.

  • syslog 전달을 삭제합니다.

  • syslog 전달을 편집합니다.

• 시스템 관리--

  • 시스템을 종료합니다.

  • 시스템을 다시 시작합니다.

• 사용자 계정--

  • 계정을 추가합니다.

  • 계정을 편집합니다.

  • 계정을 삭제합니다.

• 사용자 인증--

  • 사용자 인터페이스에 로그인합니다.

  • 사용자 인터페이스에서 로그아웃합니다.

• 사용자 인증 Ariel --

  • 로그인 시도를 거부합니다.

  • Ariel 속성을 추가합니다.

  • Ariel 속성을 삭제합니다.

  • Ariel 속성을 편집합니다.

  • Ariel 속성 확장을 추가합니다.

  • Ariel 속성 확장을 삭제합니다.

  • Ariel 속성 확장을 편집합니다.

• 사용자 역할--

  • 역할을 추가합니다.

  • 역할을 편집합니다.

  • 역할을 삭제합니다.

• 비스--

  • 새 호스트를 검색합니다.

  • 새 운영 체제를 검색합니다.

  • 새로운 항구를 발견하십시오.

  • 새로운 취약점을 발견합니다.