База знаний

База Знаний

Документация

...

Общие сведения

NGFW

DCFW

DCFW 8.x Руководство администратора

Введение

Лицензирование

Первоначальная настройка

Настройка устройства

Настройка сети

Пользователи и устройства

Политики сети

Настройка VPN

Библиотеки элементов

Диагностика и мониторинг

Журналы и отчеты

Журналы

Описание

Журнал событий

Журнал веб-доступа

Журнал DNS

Журнал трафика

Журнал СОВ

История поиска

Агент UserID

Экспорт журналов

Поиск и фильтрация данных

Отчеты

Интерфейс командной строки (CLI)

UserGate Application and Security Language (UASL)

UserGate Policy Language (UPL)

Platform Management Controller Command Line Interf...

Дашборд

Помощь

Admin

Избранные

Приложения

Management Center

Log Analyzer

SIEM

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Агент UserID

ID статьи: 1678

Последнее обновление: 18 ноя, 2024

Содержание:

Product: DCFW

Version: 8.x

Technology: Identification and Authentication

Журнал Windows Active Directory

Журнал Windows Active Directory отображает события, собранные UserID агентом с помощью коннектора "Microsoft Active Directory" с серверов AD. В журнале отображаются события с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). В журнале отображена следующая информация:

Наименование	Описание
Узел	Узел UserGate, которым зафиксировано событие.
Время	Время произошедшего события.
Запись журнала событий конечных устройств	Ссылка на событие.
Конечное устройство\сенсор	UserID конектор.
Уровень лога	Поле "Keywords" из журнала AD.
Данные	Содержание события из журнала AD.
Источник журнала событий	Поле "Источник" из журнала AD.
Категория журнала	Код категории инцидента (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)
Категория инцидента	Поле "Тип задачи" из журнала AD
Имя компьютера	узел Windows на котором произошло событие.
Пользователь	Поле "Пользователь"из журнала AD.
Код события лога	Поле "Код события" из журнала AD (EventCode).
Идентификатор события лога	Поле "Идентификатор события" из журнала AD (EventID).
Тип события лога	Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).
Файл журнала лога	файл журнала Windows.

Syslog (Журнал)

Журнал Syslog отображает события, собранные UserID агентом с помощью коннектора "Отправитель syslog" с серверов-источников данных syslog. В журнале отображаются события входа пользователей в систему и завершение их сеанса работы. Отображена следующая информация:

Наименование	Описание
Узел	Узел UserGate, на котором зафиксировано событие.
Время	Время произошедшего события.
Запись журнала syslog	Ссылка на событие.
Правило	Правило под которое попало Syslog сообщение.
Критичность	Уровень события Syslog.
Объект	Представление процесса, вызвавшего сообщение (kernel messages,user-level messages,security/authentication и тд)
Имя компьютера	Имя компьютера на котором произошло событие.
Приложение	Приложение вызвавшее событие.
Идентификатор процесса	PID процесса вызвавшего событие.
Данные	Описание события.

UserID (Журнал)

Журнал UserID содержит описание событий отражающие результат работы UserID агента. Отображена следующая информация:

Наименование	Описание
Узел	Узел UserGate, на котором зафиксировано событие.
Время	Время произошедшего события.
Содержание события	Открыть подробное описание события.
Действие	Действие примененное к событию.
Источник логов	Источник полученного события.
Пользователь	Пользователь UG, который вызвал событие.
IP-адрес	IP-адрес узла на котором произошло событие.
Информация	Описание события.

RADIUS (Журнал)

Журнал RADIUS отображает события, собранные UserID агентом с помощью коннектора "RADIUS" из данных RADIUS accounting. В журнале отображаются события входа пользователей в систему и завершение их сеанса работы. Отображена следующая информация:

Наименование	Описание
Узел	Узел UserGate, на котором зафиксировано событие.
Время	Время произошедшего события.
Идентификатор правила	Идентификатор правила, срабатывание которого создало событие
Пользователь	Пользователь, который вызвал событие.
Группы	Строка групп в которых состоит пользователь.
Статус	Статус пользователя.
IP источника	IP-адрес источника, откуда пришло сообщение.
IP адрес NAS	IP-адрес NAS, авторизовавшего пользователя.
IP-адрес пользователя	IP-аадрес пользователя (framed ip address).