Mudanças que são feitas por usuários QRadar são gravadas em logs de auditoria.
É possível visualizar logs de auditoria para monitorar mudanças noQRadar e em usuários que modificaram as configurações.
Todos os logs de auditoria são armazenados em texto simples, e são arquivados e comprimidos quando o arquivo de log de auditoria atinge 200 MB. O arquivo de log atual é nomeamdo audit.log. Quando o arquivo atinge 200MB, 200 MB, o arquivo é comprimido e e nomeado para audit.1.gz, audit.2.gz. O número do arquivo é incrementado cada vez que um log de arquivo é arquivado. QRadar armazena mais de 50 logs de arquivos arquivados.
Visualizando o Arquivo de Log de Auditoria
Utilize shell seguro (SSH) para efetuar login no sistema QRadar e monitore as mudanças em seu sistema.
Sobre Esta Tarefa
É possível utilizar a guia Atividade do Log para visualizar os eventos de log de auditoria normalizados.
O tamanho máximo de qualquer mensagem de auditoria, exceto data, hora e nome do host, é de 1024 caracteres.
Cada entrada no arquivo de log exibe o formato a seguir:
<date_time> <host name> <user>@<IP address> (thread ID) [<category>] [<sub-category>] [<action>] <payload>
A tabela a seguir descreve as opções de formato de arquivo de log. Tabela 65. Descrição das Partes do Formato de Arquivo de Log
Parte do Formato de Arquivo Descrição
date_time A data e hora da atividade no formato: Mês Data HH:MM:SS
host name O nome do host do Console em que essa atividade foi registrada.
user O nome do usuário que alterou as configurações.
IP address O endereço IP do usuário que alterou as configurações.
thread ID) O identificador do encadeamento do Java que registrou essa atividade.
category A categoria de alto nível desta atividade.
sub-categor A categoria de baixo nível desta atividade.
action A atividade que ocorreu.
payload O registro completo, que pode incluir o registro do usuário ou a regra de evento que foi alterada.
Procedimento
1. Utilizando o SSH, efetue login no QRadar como o usuário raiz: 2. Nome de Usuário: root
3. Senha: password
/var/log/audit
5. Abra e visualize o arquivo de log de auditoria.
Ações registradas
Entenda o conteúdo do arquivo de log de auditoria int QRadar no diretório /var/log/audit. O arquivo de log de auditoria contém ações registradas.
A lista a seguir descreve as categorias de ações que estão no arquivo de log de auditoria :
Autenticação do administrador
v Efetuar login no Console Administrativo v Efetar logout do Console de Administração.
Recursos
v Excluir um recurso. v Excluir todos os recursos.
Acesso ao log de auditoria
Uma procura que inclui eventos que possuem uma categoria de evento de alto nível de auditoria.
Backup e recuperação
v Editar a configuração. v Iniciar o backup. v Concluir o backup. v Cometer falha do backup. v Limpar o backup.
v Sincronizar o backup. v Cancelar o backup. v Iniciar a restauração.
v Fazer upload de um backup.
v Fazer upload de um backup inválido. v Iniciar a restauração.
v Limpar o backup.
Propriedades customizadas
v Incluir uma propriedade de evento customizado. v Editar uma propriedade de evento customizado. v Excluir uma propriedade de evento customizado. v Editar uma propriedade de fluxo customizado. v Excluir uma propriedade de fluxo customizado.
Configuração de gráfico
Salvar configuração de grafico de evento ou fluxo.
Expressões de propriedade customizada
v Incluir uma expressão de propriedade de evento customizado. v Editar uma expressão de propriedade de evento customizado. v Excluir uma expressão de propriedade de evento customizado. v Incluir uma expressão de propriedade do fluxo customizado. v Editar uma expressão de propriedade do fluxo customizado.
v Excluir uma expressão de propriedade do fluxo customizado.
Depósitos de retenção
v Incluir um depósito. v Excluir um depósito. v Editar um depósito.
v Ativar ou desativar um depósito.
Fontes de fluxo
v Incluir uma fonte de fluxo. v Editar uma fonte de fluxo. v Excluir uma fonte de fluxo.
Grupos
v Incluir um grupo. v Excluir um grupo. v Editar um grupo.
Alta disponibilidade
v Incluir uma chave de licença. v Reverter uma licença.
v Excluir uma chave de licença.
Extensão de fonte de log
v Incluir uma extensão de fonte de log v Editar a extensão de fonte de log. v Excluir uma extensão de fonte de log.
v Fazer upload de uma extensão de fonte de log.
v Fazer upload de uma extensão de fonte de log com êxito. v Fazer upload de uma extensão de fonte de log inválida. v Fazer download de uma extensão de fonte de log. v Relatar uma extensão de fonte de log.
v Modificar uma associação de fontes de log a um tipo de dispositivo ou dispositivo.
Ofensas
v Ocultar uma ofensa. v Fechar uma ofensa v Fechar todas as ofensas. v Incluir uma nota de destino. v Incluir uma nota de origem. v Incluir uma nota de rede. v Incluir uma nota de ofensa.
v Incluir um motivo para fechamento de ofensas. v Editar um motivo para fechamento de ofensas.
Configuração de protocolo
v Incluir uma configuração de protocolo. v Excluir uma configuração de protocolo. v Editar uma configuração de protocolo.
QIDmap
v Incluir uma entrada de mapa QID. v Editar uma entrada de mapa QID.
QRadar Vulnerability Manager
v Criar um planejamento de scanner. v Atualizar um planejamento de scanner. v Excluir um planejamento de scanner. v Iniciar um planejamento de scanner. v Pausar um planejamento de scanner. v Continuar um planejamento de scanner.
Conjuntos de referência
v Criar um conjunto de referência. v Editar um conjunto de referência.
v Limpar elementos em um conjunto de referência. v Excluir um conjunto de referência.
v Incluir elementos do conjunto de referência. v Excluir elementos do conjunto de referência.
v Excluir todos os elementos do conjunto de referência. v Importar elementos do conjunto de referência. v Exportar elementos do conjunto de referência.
Relatórios v Incluir um modelo. v Excluir um modelo. v Editar um modelo. v Gerar um relatório. v Excluir um relatório. v Excluir conteúdo gerado. v Visualizar um relatório gerado. v Enviar e-mail de um relatório gerado.
Login de root
v Efetuar login no QRadar como root. v Efetuar logout do QRadar como root.
Regras
v Incluri uma regra. v Excluir uma regra. v Editar uma regra.
Scanner v Incluir um scanner. v Excluir um scanner. v Editar um scanner. Planejamento de scanner v Incluir um planejamento. v Editar um planejamento.
v Excluir um planejamento.
Autenticação de sessão
v Criar uma sessão de administração. v Finalizar uma sessão de administração. v Negar uma sessão de autenticação inválida. v Expirar uma autenticação de sessão.
v Criar uma sessão de autenticação. v Encerrar uma sessão de autenticação
SIM Limpar um modelo SIM.
Armazenamento e encaminhamento
v Incluir um planejamento de Armazenamento e Encaminhamento. v Editar um planejamento de Armazenamento e Encaminhamento. v Excluir um planejamento de Armazenamento e Encaminhamento.
Encaminhamento do Syslog
v Incluir um encaminhamento de syslog. v Excluir um encaminhamento de syslog. v Editar um encaminhamento de syslog.
Gerenciamento de sistema
v Encerre um sistema. v Reinicie um sistema.
Contas de usuários
v Incluir uma conta. v Editar uma conta. v Excluir uma conta.
Autenticação do usuário
v Efetuar login na interface com o usuário. v Efetuar logout da interface com o usuário.
Autenticação do usuário do Ariel
v Negar uma tentativa de login. v Incluir uma propriedade do Ariel. v Excluir uma propriedade do Ariel. v Editar uma propriedade do Ariel.
v Incluir uma extensão de propriedade do Ariel. v Excluir uma extensão de propriedade do Ariel. v Editar uma extensão de propriedade do Ariel.
Funções de usuário
v Incluir uma função. v Editar uma função. v Excluir uma função.
VIS
v Descobrir um novo host.
v Descobrir um novo sistema operacional. v Descobrir uma nova porta.