Remote Security Logging in IGEL
Dieser Artikel beschreibt die Remote Security Logging-Funktion für den IGEL Universal Management Suite (UMS), den IGEL Cloud Gateway (ICG) und das IGEL Management Interface (IMI). Die Remote-Sicherheitsprotokollierungsfunktion protokolliert sicherheitsrelevante Ereignisse in einer separaten Protokolldatei, die von einem konfigurierten Protokollsammler/SIEM abgeholt werden kann.
Remote Sicherheitsprotokollierung ist unabhängig von der normalen Protokollierung und standardmäßig deaktiviert.
Remote-Sicherheitsprotokollierung aktivieren
Sie können die Funktion in der UMS Konsole über UMS Administration > Global Configuration > Logging > Activate security logging aktivieren. Dadurch wird die Protokollierung für alle Komponenten aktiviert, einschließlich UMS Server, UMS Console, UMS Web App, IMI und ICG.
Wo werden die Protokolldateien gespeichert?
Sie finden die UMS Server-Protokolldatei, die von der Fernsicherungsprotokollierung erstellt wird:
Unter Windows:
C:\Programme\IGEL\RemoteManager\rmguiserver\logs\ums-server\ums-server-security.log
Unter Linux:
/opt/IGEL/RemoteManager/rmguiserver/logs/ums-server/ums-server-security.log
Sie finden die UMS Administrator-Protokolldatei, die von der Remote-Sicherheitsprotokollierung erstellt wird:
Unter Windows:
C:\Programme\IGEL\RemoteManager\rmguiserver\logs\ums-admin\ums-admin-security.log
Unter Linux:
/opt/IGEL/RemoteManager/rmguiserver/logs/ums-admin/ums-admin-security.log
Die ICG-Protokolldatei, die von der Remote-Sicherheitsprotokollierung erstellt wird, finden Sie:
Unter Linux:
/opt/IGEL/icg/usg/logs/icg-security.log
Sie finden die UMS Web App Log-Datei, die von der Remote Security Logging erstellt wurde:
Unter Windows:
C:\Programme\IGEL\RemoteManager\rmguiserver\logs\wums-app-security.log
Unter Linux:
/opt/IGEL/RemoteManager/rmguiserver/logs/wums-app-security.log
Aufgezeichnete Ereignisse
In der Protokolldatei sind einige protokollierte Ereignisse mit Quell-Tags gekennzeichnet:
UMS Server-Ereignisse enthalten das Quell-Tag:
UMS-Server
.ICG Ereignisse enthalten das Quell-Tag:
ICG
.IMI Ereignisse enthalten das Quell-Tag:
IMI
.UMS Web-App-Ereignisse enthalten den Quell-Tag:
UMS-Webapp
.
Aufgezeichnete UMS Ereignisse
UMS Benutzeranmeldung und -abmeldung
UMS erfolgreiche und fehlgeschlagene Benutzeranmeldungen
UMS Benutzerpasswortänderung
Alle direkten und indirekten Zuweisungsänderungen an Geräte ("privilegierte Richtlinien Änderungen")
Alle Konfigurationsänderungen an Geräten
Abschalten von UMS oder ICG Diensten/Prozessen
UMS Administrator-Benutzerkonto anlegen/löschen
UMS Administrator-Benutzerkennwort ändern
Protokollierte UMS Web-App-Ereignisse
Authentifizierungsereignisse
Löschung einer Suche
Aktualisierung oder Löschung eines Profils oder Prioritätsprofils
Zuweisung oder Abtrennung der folgenden Objekte zu einem Ordner oder einem Gerät:
Profile
Prioritätsprofile
Variablen
Firmware-Anpassungen
Gerätebefehle:
Auf Werkseinstellungen zurücksetzen
Geräteeinstellungen aktualisieren
Aufgezeichnete ICG Ereignisse
Erstellung und Löschung von Benutzern
Erfolgreiche und fehlgeschlagene Authentifizierung
Datei-Uploads
Protokollierte IMI Ereignisse
Authentifizierungsereignisse
Add operations
Aktualisierungsvorgänge
Löschvorgänge