Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Registro de eventos (registro de auditoría)

Introducción al registro de eventos

A medida que los usuarios trabajan en el entorno de Apstra, se registran sus acciones. Estos registros de eventos son útiles cuando se investiga el uso general, las interrupciones de la red y la posible actividad sospechosa. Consulte a continuación la información que se recopila.

Tipos de eventos que se registran

Se registran los eventos de los siguientes tipos de eventos:

Tabla 1: Tipos de eventos

Evento

Descripción

Iniciar sesión

Un usuario ha iniciado sesión (éxito y fracaso).

Cerrar sesión

Un usuario ha cerrado sesión.

BlueprintCommit

Los cambios se aplicaron del plano preconfigurado al plano activo.

BlueprintRevertir

Se descartaron los cambios en el plano por etapas.

BlueprintRollback

El plano por etapas se revirtió a una versión anterior.

BlueprintDelete

Se eliminó todo el plano.

DeviceConfigChange

Se ha cambiado la configuración de un dispositivo. Esto incluye cualquier cambio de configuración que Apstra envíe a cualquier dispositivo administrado (incluido Time Voyager). El evento se atribuye al usuario que ha iniciado sesión realizando el cambio.

OperationModeChangeToMaintenance

Un usuario cambió el modo de operación del plano a Mantenimiento.

OperatonModeChangeToNormal

Un usuario o el sistema cambiaron el modo de operación del plano a Normal cuando el uso del disco y la memoria están por debajo del umbral de utilización (la operación está en modo de lectura y escritura).

OperationModeChangeTo ReadOnly

El modo de operación del plano fue cambiado a Sólo lectura por el usuario, o por el sistema cuando se supera el umbral de utilización (la operación está en modo de sólo lectura).

RatelimitExceptionAdd

Se agregó una excepción ratelimit.

RatelimitExceptionDelete

Se ha eliminado una excepción ratelimit.

RatelimitBorrar

Se eliminó un límite de velocidad.

SyslogCreate

Se creó Syslog.

SyslogUpdate

Se actualizó Syslog.

SyslogDelete

Se eliminó Syslog.

UserCreate

Se creó un perfil de usuario (mediante creación o clonación).

UserUpdate

Se actualizó un perfil de usuario.

UserDelete

Se ha eliminado un perfil de usuario.

AuthAclEnable

Se habilitaron las reglas de control de acceso.

AuthAClDisable

Las reglas de control de acceso estaban deshabilitadas.

AuthAclRuleAdd

Se agregó una regla de control de acceso.

AuthAclRuleUpdate

Se actualizó una regla de control de acceso.

AuthAclRuleDelete

Se eliminó una regla de control de acceso.

Tipos de detalles del evento que se recopilan

Se registran los siguientes detalles para cada evento (según corresponda):

Tabla 2: Detalles del evento

Propiedad

Descripción

Rango de tiempo

El período de tiempo en que se produjo el evento (coloque el cursor sobre el campo de tiempo para ver la fecha y la hora).

Usuario

El usuario que realizó la actividad, el sistema o un nombre de usuario como admin.

Dirección IP del usuario

La dirección IP asociada al usuario que realizó el cambio.

Tipo (de evento)

El tipo de evento (enumerado en la tabla anterior).

Nombre del plano (ID del blueprint)

Identificador del plano en el que se realizó el cambio.

Mensaje de confirmación del plano

La descripción de los cambios que se confirmaron en el plano, si se proporciona.

Clave del dispositivo (ID de dispositivo)

Normalmente, el número de serie del dispositivo administrado donde se realizó el cambio.

Configuración del dispositivo

La configuración que se inserta y se aplica al dispositivo.

Resultado

El resultado de la actividad. El éxito significa que la operación es aceptada por el sistema. En el caso de un error, se incluye la cadena de error (no autorizada, por ejemplo).

Buscar registros de eventos

  1. En el menú de navegación izquierdo, vaya a Platform > Event Log para ir a la tabla de eventos registrados. (La captura de pantalla a continuación corresponde a la versión 4.2.1 de Apstra. La versión 4.2.0 de Apstra no incluye el generador de consultas y el menú de navegación izquierdo tiene un aspecto ligeramente diferente).
  2. La tabla muestra los 25 eventos más recientes de forma predeterminada. Para cambiar el número de eventos que se muestran, haga clic en el botón Configuración de tabla (debajo del botón Consulta) y seleccione un número de la lista desplegable.
  3. Si utiliza la versión 4.2.0 de Apstra, haga clic en Consultar todo, ingrese o seleccione su consulta en los campos de búsqueda disponibles. Puede introducir varios valores en algunos campos; Se devuelven eventos que coinciden con los criterios de todos los campos. Haga clic en Aplicar para obtener resultados.
    Nota:

    En la versión 4.2.0 de Apstra, el registro de eventos se basa en el número de eventos. Se conservan hasta 10.000 eventos. Se escriben en archivos rotados como un segundo repositorio. Puede configurar los parámetros logrotate en el archivo de configuración del servidor de Apstra (/etc/aos/aos.conf).

  4. Los pasos restantes corresponden a la versión 4.2.1 de Apstra. El registro de eventos se basa en eventos que se han registrado dentro de un período de tiempo especificado. Las 4 semanas anteriores de eventos se muestran en la GUI, de forma predeterminada. Puede ajustar este período de tiempo en los campos Intervalo de tiempo desde y Hasta. Los eventos se conservan durante 1 año o por valor de 3 GB de datos, lo que ocurra primero.
  5. Haga clic en el botón del generador de consultas en el campo de filtro, haga clic en la lista desplegable Propiedad y seleccione una propiedad (Usuario, Dirección IP del usuario, Tipo, Nombre del plano, Clave del dispositivo, Resultado).
  6. Seleccione una relación (en, no en, igual, no es igual) en la lista desplegable Relación y, a continuación, seleccione o introduzca uno o varios valores.
  7. Para agregar otro filtro, haga clic en el botón más, seleccione el predicado (Y, O) en la lista desplegable Predicado y agregue la consulta de la misma manera que la primera. Añade tantos filtros como necesites.
  8. Haga clic en Confirmar para ver los resultados.
Además de usar la GUI de Apstra para buscar eventos como se describió anteriormente, también puede usar la API (/api/audit/events).

Exportar registro de eventos a archivo CSV

  1. En el menú de navegación izquierdo, vaya a Registro de eventos > de plataforma y haga clic en Exportar a CSV (arriba a la derecha).
  2. Para filtrar los datos que desea exportar, escriba su consulta.
  3. Haga clic en Guardar como archivo CSV para descargar el archivo CSV.

Enviar registro de eventos a un servidor Syslog externo

Para obtener más información acerca del envío del registro de sucesos a un sistema externo con el protocolo Syslog, consulte Configuración de Syslog.

Analizar registros de Apstra

Apstra utiliza Common Event Format (CEF), un estándar para la interoperabilidad de dispositivos y aplicaciones de generación de eventos o registros. El estándar define una sintaxis para los registros de registro. Comprende un prefijo estándar y una extensión variable formateada como pares clave-valor.

Formato de registro de Apstra

Dónde:

  • version es siempre "0"

  • device_vendor es siempre "Apstra"

  • device_product es siempre "Apstra"

  • device_version es la versión actual de Apstra

  • device_event_class_id es "100" para los registros de auditoría y "101" para los registros de anomalías

  • name siempre es "Auditoría uniforme" para los registros de auditoría y "Alerta" para los registros de anomalías.

  • severity siempre es "medio" para los registros de auditoría y "muy alto" para los registros de anomalías

Y donde:

  • {extension} es:

    • Para registros de anomalías: msg=<carga json>

    • Para registros de auditoría: cat=<activity> src=<src_IP> suser=<username> act=<activity result> cs1Label=<field1_type> cs1=<field1_value>cs2Label=<field2_type> cs2=<field2_value> cs3Label=<field2_type> cs2=<field2_value>

Campos de registro de auditoría

Tabla 3: Campos de registro de auditoría
Campo Descripción Se aplica a
Gato Actividad realizada. Valores válidos: "Login", "Logout", "BlueprintCommit", "DeviceConfigChange", "BlueprintDelete". Todos los mensajes
Fuente IP de origen del cliente que realiza solicitudes HTTP Todos los mensajes
suser Quién realizó la actividad Todos los mensajes
actuar Resultado de la actividad - cadena de forma libre. "Éxito" significa que la operación es aceptada por el sistema. En caso de error, incluya la cadena de error. Ej: No autorizado Todos los mensajes
cs1Label La cadena "Blueprint Name" Cat = "BlueprintCommit" o "BlueprintDelete"
cs1 Nombre del modelo sobre el que se tomaron medidas. Cat = "BlueprintCommit" o "BlueprintDelete"
cs2Label La cadena "Blueprint ID" Cat = "BlueprintCommit" o "BlueprintDelete"
cs2 Identificador del modelo sobre el que se tomaron medidas. Cat = "BlueprintCommit" o "BlueprintDelete"
cs3Label La cadena "Confirmar mensaje". Solo existe si el usuario ha agregado un mensaje de confirmación (opcional) Cat = "BlueprintCommit" o "BlueprintDelete"
cs3 Mensaje de confirmación. Solo existe si el usuario ha agregado un mensaje de confirmación (opcional) Cat = "BlueprintCommit"
deviceExternalId Identificador (normalmente número de serie) del dispositivo administrado en el que se realizó la acción. Cat = "DeviceConfigChange"
deviceConfig Configuración que se inserta y se aplica en el dispositivo donde se usa "#012" para indicar un salto de línea a los recopiladores y analizadores de registros. Cat = "DeviceConfigChange"

Anomalías Campos JSON

Tabla 4: Tabla de campos JSON de anomalías
Campo Descripción Se aplica a
u'blueprint_label' Cadena. Nombre del plano en el que se planteó la anomalía. Todos los mensajes
u'marca de tiempo' Cadena. Nombre del plano en el que se planteó la anomalía. Todos los mensajes
u'origin_name' Cadena. Nombre del plano en el que se planteó la anomalía. Todos los mensajes
u'alerta' El valor es una carga JSON con la anomalía real (consulte la tabla siguiente)
u'origin_hostname' Cadena. Nombre de host del dispositivo al que afecta la anomalía. Todos los mensajes
u'device_hostname' Cadena. Nombre de host del dispositivo al que afecta la anomalía. Todos los mensajes
u'origin_role Cadena. Nombre de host del dispositivo al que afecta la anomalía. Todos los mensajes
Tabla 5: Formato principal del mensaje
Campo Descripción Se aplica a
u'first_seen' Cadena. Marca de tiempo de Unix cuando se generó la anomalía por primera vez. Todos los mensajes
u'criado' Siempre es cierto Todos los mensajes
u'severidad El nivel de gravedad de la anomalía. Hoy en Apstra, todas las anomalías se plantean con el nivel de gravedad 3. Todos los mensajes

Ejemplos de registro de anomalías

Anomalía de IBA "Anomalía MLAG"

El device_event_class_id = 101 para todas las anomalías

Anomalía de IBA "Nombre de host inesperado"

Cierre de sesión y registro del usuario

El device_event_class_id = 100 para todos los eventos

Eliminar plano

Blueprint Commit

Cambio de configuración del dispositivo

Revertir una implementación de BP de día 0 completo

Configuración del dispositivo

Tenga en cuenta que "#012" se utiliza para indicar un salto de línea