Агент UserID

ID статьи: 856
Последнее обновление: 02 ноя, 2024
Documentation:
Product: NGFW
Version: 7.1.x, 7.2.x
Technology: Identification and Authentication

Журнал Windows Active Directory

Журнал Windows Active Directory отображает события, собранные UserID агентом с помощью коннектора "Microsoft Active Directory" с серверов AD. В журнале отображаются события с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). В журнале отображена следующая информация:

Наименование

Описание

Узел

Узел UserGate, которым зафиксировано событие.

Время

Время произошедшего события.

Запись журнала событий конечных устройств

Ссылка на событие.

Конечное устройство\сенсор

UserID конектор.

Уровень лога

Поле "Keywords" из журнала AD.

Данные

Содержание события из журнала AD.

Источник журнала событий

Поле "Источник" из журнала AD.

Категория журнала

Код категории инцидента (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)

Категория инцидента

Поле "Тип задачи" из журнала AD

Имя компьютера

узел Windows на котором произошло событие.

Пользователь

Поле "Пользователь"из журнала AD.

Код события лога

Поле "Код события" из журнала AD (EventCode).

Идентификатор события лога

Поле "Идентификатор события" из журнала AD (EventID).

Тип события лога

Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).

Файл журнала лога

файл журнала Windows.

Syslog (Журнал)

Журнал Syslog отображает события, собранные UserID агентом с помощью коннектора "Отправитель syslog" с серверов-источников данных syslog. В журнале отображаются события входа пользователей в систему и завершение их сеанса работы. Отображена следующая информация:

Наименование

Описание

Узел

Узел UserGate, на котором зафиксировано событие.

Время

Время произошедшего события.

Запись журнала syslog

Ссылка на событие.

Правило

Правило под которое попало Syslog сообщение.

Критичность

Уровень события Syslog.

Объект

Представление процесса, вызвавшего сообщение (kernel messages,user-level messages,security/authentication и тд)

Имя компьютера

Имя компьютера на котором произошло событие.

Приложение

Приложение вызвавшее событие.

Идентификатор процесса

PID процесса вызвавшего событие.

Данные

Описание события.

UserID (Журнал)

Журнал UserID содержит описание событий отражающие результат работы UserID агента. Отображена следующая информация:

Наименование

Описание

Узел

Узел UserGate, на котором зафиксировано событие.

Время

Время произошедшего события.

Содержание события

Открыть подробное описание события.

Действие

Действие примененное к событию.

Источник логов

Источник полученного события.

Пользователь

Пользователь UG, который вызвал событие.

IP-адрес

IP-адрес узла на котором произошло событие.

Информация

Описание события.

RADIUS (Журнал)

Журнал RADIUS отображает события, собранные UserID агентом с помощью коннектора "RADIUS" из данных RADIUS accounting. В журнале отображаются события входа пользователей в систему и завершение их сеанса работы. Отображена следующая информация:

Наименование

Описание

Узел

Узел UserGate, на котором зафиксировано событие.

Время

Время произошедшего события.

Идентификатор правила

Идентификатор правила, срабатывание которого создало событие

Пользователь

Пользователь, который вызвал событие.

Группы

Строка групп в которых состоит пользователь.

Статус

Статус пользователя.

IP источника

IP-адрес источника, откуда пришло сообщение.

IP адрес NAS

IP-адрес NAS, авторизовавшего пользователя.

IP-адрес пользователя

IP-аадрес пользователя (framed ip address). 

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 856
Последнее обновление: 02 ноя, 2024
Ревизия: 8
Просмотры: 4733
Комментарии: 0