Breadcrumbs

Remote Security Logging in IGEL

Dieser Artikel beschreibt die Funktion für Remote Security Logging für die IGEL Universal Management Suite (UMS), das IGEL Cloud Gateway (ICG) und das IGEL Management Interface (IMI). Die Funktion für Remote Security Logging protokolliert sicherheitsrelevante Ereignisse in separaten Log-Dateien, die von einem konfigurierten Log Collector/SIEM erfasst werden können.

Remote Security Logging ist unabhängig vom normalen Logging und standardmäßig deaktiviert.

Remote Security Logging aktivieren

Sie können die Funktion in der UMS Konsole unter UMS Administration > Globale Konfiguration > Logging > Security Logging aktivieren aktivieren. Dadurch wird das Logging für alle Komponenten aktiviert, einschließlich UMS Server, UMS Konsole, UMS Web App, IMI und ICG.

Wo werden die Log-Dateien gespeichert?

Sie finden die durch Remote Security Logging erstellte Log-Datei des UMS Servers:

  • Unter Windows:
    C:\Program Files\IGEL\RemoteManager\rmguiserver\logs\ums-server\ums-server-security.log

  • Unter Linux:
    /opt/IGEL/RemoteManager/rmguiserver/logs/ums-server/ums-server-security.log

Sie finden die durch Remote Security Logging erstellte Log-Datei des UMS Administrators:

  • Unter Windows:
    C:\Program Files\IGEL\RemoteManager\rmguiserver\logs\ums-admin\ums-admin-security.log

  • Unter Linux:
    /opt/IGEL/RemoteManager/rmguiserver/logs/ums-admin/ums-admin-security.log

Sie finden die durch Remote Security Logging erstellte Log-Datei des ICG:

  • Unter Linux:
    /opt/IGEL/icg/usg/logs/icg-security.log

Sie finden die durch Remote Security Logging erstellte Log-Datei der UMS Web App:

  • Unter Windows:
    C:\Program Files\IGEL\RemoteManager\rmguiserver\logs\wums-app-security.log

  • Unter Linux:
    /opt/IGEL/RemoteManager/rmguiserver/logs/wums-app-security.log

Protokollierte Ereignisse

In der Log-Datei sind einige protokollierte Ereignisse mit Source-Tags gekennzeichnet:

  • UMS Server Ereignisse enthalten das Source-Tag: UMS-Server.

  • ICG Ereignisse enthalten das Source-Tag: ICG.

  • IMI Ereignisse enthalten das Source-Tag: IMI.

  • UMS Web App Ereignisse enthalten das Source-Tag: UMS-Webapp.

Protokollierte UMS Ereignisse

  • Anmeldung und Abmeldung von UMS Benutzern

  • Erfolgreiche und fehlgeschlagene Anmeldungen von UMS Benutzern

  • Passwortänderungen von UMS Benutzern

  • Alle direkten und indirekten Zuweisungsänderungen an Geräten („privileged policy changes“)

  • Alle Konfigurationsänderungen an Geräten

  • Herunterfahren von UMS oder ICG Diensten/Prozessen

  • Erstellung/Löschung von Benutzerkonten im UMS Administrator

  • Passwortänderungen von Benutzern im UMS Administrator

Protokollierte Ereignisse der UMS Web App

  • Authentifizierungsereignisse

  • Löschen einer Suche

  • Aktualisierung oder Löschung eines Profils oder Prioritätsprofils

  • Zuweisung oder Entfernung der folgenden Objekte zu bzw. von einem Ordner oder Gerät:

    • Profile

    • Priority Profile

    • Variablen

    • Firmware-Anpassungen

  • Gerätebefehle:

    • Auf Werkseinstellungen zurücksetzen

    • Geräteeinstellungen aktualisieren

  • Änderungen an Objektberechtigungen

Protokollierte ICG Ereignisse

  • Erstellung und Löschung von Benutzern

  • Erfolgreiche und fehlgeschlagene Authentifizierung

  • Datei-Uploads

Protokollierte IMI Ereignisse

  • Authentifizierungsereignisse

  • Hinzufügeoperationen

  • Aktualisierungsoperationen

  • Löschoperationen