Dieser Artikel beschreibt das Remote Security Logging für die IGEL Universal Management Suite (UMS) Konsole, das IGEL Cloud Gateway (ICG) und das IGEL Management Interface (IMI). Das Remote Security Logging protokolliert sicherheitsrelevante Ereignisse in separaten Protokolldatein, die von einem konfigurierten Log Collector/SIEM abgeholt werden können.

Das Remote Security Logging ist unabhängig von der normalen Protokollierung und ist standardmäßig deaktiviert.

Remote Security Logging Aktivieren

Sie können diese Funktion in der UMS Konsole über UMS Administration > Global Konfiguration > Logging > Sicherheitsaufzeihnung aktivieren aktivieren. Dadurch wird die Protokollierung für alle Komponenten aktiviert, einschließlich UMS Server, UMS Konsole, UMS Web App, IMI und ICG.

Wo wird die Protokolldatei gespeichert?

Sie können die UMS Server-Protokolldatei finden, die von der Remote Security Logging erstellt wurde:

  • Unter Windows:
    C:\Programmdateien\IGEL\RemoteManager\rmguiserver\logs\ums-server\ums-server-security.log
  • Unter Linux: 
    /opt/IGEL/RemoteManager/rmguiserver/logs/ums-server/ums-server-security.log

Sie finden die UMS-Administrator-Protokolldatei, die von der Remote Security Logging erstellt wurde:

  • Unter Windows:
    C:\Program Files\IGEL\RemoteManager\rmguiserver\logs\ums-admin\ums-admin-security.log

  • Unter Linux:
    /opt/IGEL/RemoteManager/rmguiserver/logs/ums-admin/ums-admin-security.log

Sie können die ICG-Protokolldatei finden, die von der Remote Security Logging erstellt wurde:

  • Unter Linux:
    /opt/IGEL/icg/usg/logs/icg-security.log

Sie können die UMS Web App-Protokolldatei finden, die von der Remote Security Logging erstellt wurde:

  • Unter Windows:
    C:\Program Files\IGEL\RemoteManager\rmguiserver\logs\wums-app-security.log
  • Unter Linux:
    /opt/IGEL/RemoteManager/rmguiserver/logs/wums-app-security.log

Logged Events

In der Protokolldatei werden die protokollierten Ereignisse mit Source Tags gekennzeichnet:

  • UMS Server Ereignisse enthalten den Source Tag: UMS-Server.
  • ICG Ereignisse enthalten den Source Tag: ICG.
  • IMI Ereignisse enthalten den Source TagIMI.
  • UMS Web App Ereignisse enthalten den Source Tag: UMS-Webapp.

Logged UMS Events

  • Anmeldung und Abmeldung von UMS Benutzern
  • Erfolgreiche und fehlgeschlagene Anmeldungen von UMS Benutzern
  • Passwortänderung von UMS Benutzern
  • Alle direkten und indirekten Zuweisungsänderungen an Geräte ("privileged policy changes")
  • Alle Konfigurationsänderungen an Geräten
  • Herunterfahren von UMS oder ICG Diensten/Prozessen
  • Anlegen/Löschen eines UMS Administrator-Benutzerkontos
  • Änderung des UMS Administrator-Benutzerkennworts

Logged UMS Web App Events

  • Ereignisse zur Authentifizierung
  • Löschung einer Suche
  • Aktualisierung oder Löschung eines Profils oder Prioritätsprofils
  • Zuweisung oder Abtrennung der folgenden Objekte zu einem Ordner oder einem Gerät:
    • Profile
    • Prioritätsprofile
    • Variablen
    • Firmware-Anpassungen
  • Device Commands:
    • auf Werkseinstellungen zurücksetzen
    • Geräteeinstellungen aktualisieren

Logged ICG Events

  • Erstellung und Löschung von Benutzern
  • Erfolgreiche und fehlgeschlagene Authentifizierung
  • Datei-Uploads

Logged IMI Events

  • Ereignisse zur Authentifizierung
  • Hinzufügen von Vorgängen
  • Aktualisierungsvorgänge
  • Löschvorgänge