Les événements XDASv2 sont classés dans les catégories suivantes :
Section H.2.3, Événements de gestion d'élément de ressources et de données
Section H.2.4, Événements de gestion de service ou d'application
Section H.2.5, Événements d'utilisation de service ou d'application
Section H.2.6, Événements de gestion d'association homologue
Section H.2.7, Événements d'accès de contenu d'élément de ressources ou de données
Une identité est un jeton utilisé pour représenter un utilisateur ou une entité spécifique. La responsabilité d'une action revient à l'identité pour un ensemble d'activités au sein d'un système. Les comptes existent dans les domaines d'application pour relier des attributs à l'ensemble d'identificateurs généralement associés aux identités. Les identités peuvent désigner un être humain ou une identité automatisée, telle qu'un autre service, qui agit au nom d'une personne ou dans le cadre d'une activité système régulièrement planifiée. Dans les deux cas, la gestion des comptes est considérée comme la création continue de comptes, où une identité avec un ensemble limité ou illimité de droits système est associée à des attributs.
REMARQUE :l'événement Modifier le jeton de sécurité du compte aurait pu être défini sous les termes Modifier le compte, mais la modification de jetons de sécurité de compte est considérée comme déterminante pour auditer la sécurité et bénéficie dès lors de son propre événement.
Tableau H-2 Taxinomie des événements de gestion des comptes
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer un compte |
0.0.0.0 |
DSE_CREATE_ENTRY DSE_LDAP_ADD DSE_LDAP_ADDRESPONSE DSE_NAME_COLLISION |
Créer un compte |
Envisagez cet événement pour toute situation à vous devez créer un compte, tel que défini ci-dessus. |
Supprimer le compte |
0.0.0.1 |
DSE_DELETE_ENTRY DSE_LDAP_DELETE DSE_LDAP_DELETERESPONSE DSE_MOVE_SOURCE_ENTRY DSE_REMOVE_ENTRY |
Supprimer un compte existant |
Cet événement a un sens sémantique opposé à la création d'un compte. Utilisez cet événement lorsque vous devez supprimer un compte, tel que décrit ci-dessus. |
Désactiver le compte |
0.0.0.2 |
DSE_LOGIN DSE_ADD_VALUE |
Désactiver un compte existant |
Envisagez cet événement pour toute situation où un enregistrement particulier dans une base de données d'identificateurs est désactivé par un administrateur ou un processus de sécurité automatisé de manière à ne plus pouvoir être utilisé jusqu'à ce qu'il soit réactivé. |
Activer le compte |
0.0.0.3 |
DSE_ADD_VALUE |
Activer un compte existant |
Il s'agit de l'événement contraire à l'événement Désactiver le compte défini ci-dessus. |
Compte de requête |
0.0.0.4 |
DSE_SEARCH DSE_DSA_READ DSE_INSPECT_ENTRY DSE_LDAP_SEARCH DSE_LDAP_SEARCHENTRYRESPONSE DSE_LDAP_COMPARE |
Interroger un compte existant |
Envisagez cet événement à chaque fois que des informations d'attribut doivent être demandées pour un compte particulier. |
Modifier le compte |
0.0.0.5 |
DSE_MERGE_ENTRIES DSE_ADD_VALUE DSE_DELETE_ATTRIBUTE DSE_DELETE_VALUE DSE_LDAP_MODDN DSE_LDAP_MODDNRESPONSE DSE_LDAP_MODIFY DSE_LDAP_MODIFYRESPONSE DSE_MODIFY_ENTRY DSE_MODIFY_RDN DSE_RENAME_ENTRY |
Modifier un compte existant |
Envisagez cet événement à chaque fois que des informations d'attribut doivent être modifiées pour un compte particulier. |
Modifier le jeton de sécurité du compte |
0.0.0.6 |
DSE_CHGPASS |
Modifier le jeton de sécurité d'un compte existant |
Un jeton de sécurité d'un compte peut être un mot de passe ou tout autre type d'authentification associé à un compte utilisateur. Dans ce cas, un compte utilisateur signifie tout type de compte sous lequel un utilisateur, une application ou un service système peut s'authentifier, puis agir en fonction des droits de ce compte. |
Cette section présente des exemples pour les événements de gestion de compte suivants :
REMARQUE :les exemples contenus dans les sections suivantes sont uniquement fournis à titre de référence.
Cliquez sur Créer un compte pour générer un événement de création d'un compte utilisateur. Une sortie au format JSON, semblable à ce qui suit, est générée :
Jan 08 15:06:03 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SLES11-SP2,O=mycom"},"Entity" : {"SysAddr" : "100.1.1.2","SysName" : "SLES11-SP2.my.com"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32805"}},"Target" : {"Data" : {"ClassName" : "User","Name" : "CN=USER,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.2.0","Name" : "CREATE_ACCOUNT","CorrelationID" : "eDirectory#25#0ef05b4c-e864-4d4c-f7a9-4c5bf00e64e8","SubEvent" : "DSE_CREATE_ENTRY"},"Time" : {"Offset" : 1389173763},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
L'exemple précédent apparaît au format XML (lorsque vous le convertissez depuis le format JSON) comme suit :
<Source>eDirectory#DS</Source> <Observer> <Account> <Domain>MYTREE</Domain> <Name>CN=SLES11-SP2,O=mycom</Name> </Account> <Entity> <SysAddr>100.1.1.2</SysAddr> <SysName>SLES11-SP2.my.com</SysName> </Entity> </Observer> <Initiator> <Account> <Name>CN=admin,O=mycom</Name> <Id>32805</Id> </Account> </Initiator> <Target> <Data> <ClassName>User</ClassName> <Name>CN=USER,O=mycom</Name> </Data> </Target> <Action> <Event> <Id>0.0.2.0</Id> <Name>CREATE_ACCOUNT</Name> <CorrelationID>eDirectory#25#0ef05b4c-e864-4d4c-f7a9-4c5bf00e64e8</CorrelationID> <SubEvent>DSE_CREATE_ENTRY</SubEvent> </Event> <Time> <Offset>1389173763</Offset> </Time> <Log> <Severity>7</Severity> </Log> <Outcome>0</Outcome> <ExtendedOutcome>0</ExtendedOutcome> </Action>
Cliquez sur Supprimer le compte pour générer un événement de création d'un compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 15:17:10 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SLES11-SP2,O=mycom"},"Entity" : {"SysAddr" : "100.1.1.2","SysName" : "SLES11-SP2-164.my.com"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32805"}},"Target" : {"Data" : {"Name" : "CN=USER,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.0.1","Name" : "DELETE_ACCOUNT","CorrelationID" : "eDirectory#25#bc9563e5-d322-43c5-fb91-e56395bc22d3","SubEvent" : "DSE_REMOVE_ENTRY"},"Time" : {"Offset" : 1389174430},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Désactiver le compte pour générer un événement de désactivation d'un compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"},"Assertions" : {"NullPassword" : "FALSE","bindery login" : "FALSE"}},"Target" : {"Data" : {"ClassName" : "NCP Server","Name" : "CN=SRV1,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.0.2","Name" : "DISABLE_ACCOUNT","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_LOGIN"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Activer le compte pour générer un événement d'activation d'un compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.142:40645"}},"Target" : {"Data" : {"Attribute Name" : "Object Class","Attribute Value" : "ndsLoginProperties","Name" : "dc=LDAPValidate","Syntax" : "20"}},"Action" : {"Event" : {"Id" : "0.0.0.3","Name" : "ENABLE_ACCOUNT","CorrelationID" : "eDirectory#41#4477577d-b132-4d62-9e89-7d57774432b1","SubEvent" : "DSE_ADD_VALUE"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Compte de requête pour générer un événement permettant d'interroger un compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Target" : {"Data" : {"Name" : "CN=Test User1,dc=LDAPValidate"}},"Action" : {"Event" : {"Id" : "0.0.0.4","Name" : "QUERY_ACCOUNT","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_DSA_READ"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "1","ExtendedOutcome" : "-603"}}
Cliquez sur Modifier le compte pour générer un événement permettant de modifier un compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Target" : {"Data" : {"Attribute Flag" : "2","Name" : "CN=Test User1,dc=LDAPValidate"}},"Action" : {"Event" : {"Id" : "0.0.0.5","Name" : "MODIFY_ACCOUNT","CorrelationID" : "eDirectory#0#fa79e19c-034a-445b-6292-9ce179fa4a03","SubEvent" : "DSE_MODIFY_ENTRY"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Modifier le jeton de sécurité du compte pour générer un événement permettant d'interroger le compte utilisateur, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.142:40645"}},"Target" : {"Data" : {"Name" : "CN=Test User1,dc=LDAPValidate"}},"Action" : {"Event" : {"Id" : "0.0.0.6","Name" : "MODIFY_ACCOUNT_SECURITY_TOKEN","CorrelationID" : "eDirectory#41#d0f97989-ac20-401f-03ab-8979f9d020ac","SubEvent" : "DSE_CHGPASS"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Une session est l'association d'un initiateur avec un flux de communication. Une session peut représenter la connexion d'un utilisateur au serveur, comme dans le cas d'une connexion à un hôte Linux ou Windows, ou un ensemble de transactions connexes dans un environnement sans connexion, comme dans le cas de l'utilisation d'un cookie pour maintenir des transactions continues entre un navigateur client et un serveur Web.
Tableau H-3 Taxinomie des événements de gestion de session
Nom de l'événement |
Événement Identifier |
Événement eDirectory correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer une session |
0.0.1.0 |
DSE_LDAP_CONNECTION |
Créer une session |
Cet événement doit être signalé chaque fois qu'une nouvelle session (telle que définie ci-dessus) est créée. |
Fin de session |
0.0.1.1 |
DSE_LOGOUT |
Terminer une session existante |
Cet événement doit être signalé chaque fois qu'une session existante (telle que définie ci-dessus) est terminée. |
Modifier la session |
0.0.1.3 |
DSE_CHANGE_CONN_STATE |
Modifier les attributs d'une session utilisateur |
Cet événement doit être signalé à chaque fois que des informations d'attribut sont modifiées lors d'une session existante. |
Les sections suivantes présentent des exemples pour les événements de gestion de session.
Cliquez sur Créer une session pour générer un événement de création d'une session, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#LDAP","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Entity" : {"SysAddr" : "164.99.136.142:40645"},"Assertions" : {"netAddress" : "164.99.136.142:50590","operationTime" : "01/16/14 10:18:34"}},"Target" : {"Data" : {"connection" : "231405696"}},"Action" : {"Event" : {"Id" : "0.0.1.0","Name" : "CREATE_SESSION","CorrelationID" : "eDirectory#4294967295#","SubEvent" : "DSE_LDAP_CONNECTION"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Modifier la session pour générer un événement de modification d'une session, comme illustré dans l'exemple suivant :
Jan 08 10:19:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "0.0.0.0:0"},"Assertions" : {"NetAddress" : "164.99.136.142"}},"Target" : {"Data" : {"Name" : "CN=SRV1,O=mycom","newFlags" : "1","oldFlags" : "0"}},"Action" : {"Event" : {"Id" : "0.0.1.3","Name" : "MODIFY_SESSION","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_CHANGE_CONN_STATE"},"Time" : {"Offset" : 1389847774},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cet ensemble d'événements est lié à la création et la gestion d'éléments de données et de ressources au sein d'un domaine. Le type d'élément de données ou de ressources dépend du domaine : par exemple, les fichiers et répertoires, les fichiers de périphérique spéciaux et les segments de mémoire partagée au sein d'un système d'exploitation, les tables et les enregistrements au sein d'une base de données, ou encore les messages au sein d'un système de messagerie. Le terme « élément de données » est utilisé dans ce contexte pour faire référence à tout type d'élément de ressource.
Tableau H-4 Taxinomie des événements de gestion d'élément de ressources ou de données
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer un élément de données |
0.0.2.0 |
DSE_CREATE_BACKLINK DSE_CREATE_ENTRY DSE_CREATE_SUBREF DSE_LDAP_ADD DSE_LDAP_ADDRESPONSE DSE_NAME_COLLISION DSE_SPLIT_DONE DSE_SPLIT_PARTITION |
Créer un élément de données |
Cet événement est signalé chaque fois qu'un élément de ressources ou de données lié à la sécurité est créé. |
Supprimer l'élément de données |
0.0.2.1 |
DSE_DELETE_ENTRY DSE_JOIN_PARTITIONS DSE_LDAP_DELETE DSE_LDAP_DELETERESPONSE DSE_MOVE_SOURCE_ENTRY DSE_REMOVE_ENTRY DSE_REMOVE_ENTRY_DIR DSE_REMOTE_SERVER_DOWN |
Supprimer un élément de données |
Cet événement est signalé chaque fois qu'un élément de ressources ou de données lié à la sécurité est supprimé. |
Modifier l'attribut d'élément de données |
0.0.2.3 |
DSE_ABORT_PARTITION_OP DSE_ADD_PROPERTY DSE_ADD_REPLICA DSE_ADD_VALUE DSE_CHANGE_REPLICA_TYPE DSE_CHECK_SEV DSE_DEFINE_ATTR_DEF DSE_DEFINE_CLASS_DEF DSE_DELETE_ATTRIBUTE DSE_DELETE_PROPERTY DSE_DELETE_VALUE DSE_LDAP_MODDN DSE_LDAP_MODDNRESPONSE DSE_GEN_CA_KEYS DSE_LDAP_MODIFY DSE_LDAP_MODIFYRESPONSE DSE_LDAP_PASSWDMODIFY DSE_MERGE_ENTRIES DSE_MODIFY_CLASS_DEF DSE_MODIFY_ENTRY DSE_MODIFY_RDN DSE_MOVE_SUBTREE DSE_MOVE_TREE DSE_MUTATE_ENTRY DSE_PARTITION_STATE_CHG DSE_PARTITION_EVENT DSE_RECERT_PUB_KEY DSE_REMOVE_ATTR_DEF DSE_REMOVE_BACKLINK DSE_REMOVE_CLASS_DEF DSE_REMOVE_REPLICA DSE_RENAME_ENTRY DSE_STREAM DSE_UPDATE_ATTR_DEF DSE_UPDATE_CLASS_DEF DSE_UPDATE_REPLICA DSE_UPDATE_SCHEMA DSE_UPDATE_SEV |
Modifier les attributs d'éléments de données |
Cet événement est consigné chaque fois qu'un élément de ressources ou de données lié à la sécurité est modifié (que ce soit la valeur ou un attribut de l'élément de données). |
Attribut d'élément de données de requête |
0.0.2.2 |
DSE_CHECK_SEV DSE_COMPARE_ATTR_VALUE DSE_DSA_READ DSE_INSPECT_ENTRY DSE_LDAP_COMPARE DSE_LDAP_COMPARERESPONSE DSE_LDAP_SEARCH DSE_LDAP_SEARCHENTRYRESPONSE DSE_LDAP_SEARCHRESPONSE DSE_LIST_CONT_CLASSES DSE_LIST_PARTITIONS DSE_LIST_SUBORDINATES DSE_READ_ATTR DSE_READ_REFERENCES DSE_REFERRAL DSE_SEARCH DSE_STREAM DSE_VERIFY_PASS DSE_LOW_LEVEL_JOIN |
Interroger les attributs d'éléments de données |
Cet événement est consigné chaque fois qu'un élément de ressources ou de données lié à la sécurité est interrogé (que ce soit pour la valeur ou un attribut de l'élément de données). |
Les sections suivantes présentent des exemples de génération d'événements de gestion d'élément de ressources ou de données.
Cliquez sur Créer un élément de données pour générer un événement de création d'un élément de données, comme illustré dans l'exemple suivant :
Jan 17 12:15:31 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "DYN_MARA","Name" : "CN=SLES11-SP2-164,O=novell"},"Entity" : {"SysAddr" : "164.99.179.164","SysName" : "SLES11-SP2-164.labs.blr.novell.com"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=novell","Id" : "32797"}},"Target" : {"Data" : {"ClassName" : "Computer","Name" : "CN=TEST-COM,O=novell"}},"Action" : {"Event" : {"Id" : "0.0.6.0","Name" : "CREATE_DATA_ITEM","CorrelationID" : "eDirectory#15#d40ca920-e43e-4ecc-79b4-20a90cd43ee4","SubEvent" : "DSE_CREATE_ENTRY"},"Time" : {"Offset" : 1389941131},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Supprimer l'élément de données pour générer un événement de suppression d'un élément de données, comme illustré dans l'exemple suivant :
Jan 08 10:18:35 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "164.99.136.142:40645"}},"Target" : {"Data" : {"ClassName" : "User","Name" : "CN=NewTest User1,dc=LDAPValidate","newRDN" : "á°¸à¶\u0092"}},"Action" : {"Event" : {"Id" : "0.0.2.1","Name" : "DELETE_DATA_ITEM","CorrelationID" : "eDirectory#41#7ba31085-4e90-47fd-0aa6-8510a37b904e","SubEvent" : "DSE_MOVE_SOURCE_ENTRY"},"Time" : {"Offset" : 1389847715},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Modifier l'attribut d'élément de données pour générer un événement de modification d'un attribut d'élément de données, comme illustré dans l'exemple suivant :
Jan 08 10:18:36 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.164:40645"}},"Target" : {"Data" : {"Attribute Name" : "modifiersName","Attribute Value" : "CN=admin,O=mycom","ClassName" : "User","Name" : "CN=NewTest User2,OU=tmp,dc=LDAPValidate","Syntax" : "3"}},"Action" : {"Event" : {"Id" : "0.0.2.3","Name" : "MODIFY_DATA_ITEM_ATTRIBUTE","CorrelationID" : "eDirectory#41#0bbad762-4cd7-4063-4091-62d7ba0bd74c","SubEvent" : "DSE_DELETE_VALUE"},"Time" : {"Offset" : 1389847716},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Attribut d'élément de données de requête pour générer un événement d'interrogation d'un attribut d'élément de données, comme illustré dans l'exemple suivant :
Jan 08 10:18:36 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Id" : "4278190081"},"Entity" : {"SysAddr" : "100.1.2.164:35218"}},"Target" : {"Data" : {"Name" : "CN=SRV1,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.2.2","Name" : "QUERY_DATA_ITEM_ATTRIBUTE","CorrelationID" : "eDirectory#19#","SubEvent" : "DSE_READ_ATTR"},"Time" : {"Offset" : 1389847716},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cet ensemble d'événements est associé à la gestion des services ou des applications. Par exemple, le gestionnaire de paquetages RPM peut déclencher ces événements lors de l'installation ou de la suppression de paquetages sur un système Linux. Les événements du Gestionnaire de contrôle des services (Service Control Manager, SCM) Windows 32 envoyés au journal des événements système Windows 32 peuvent être traduits dans ces événements lors de leur importation dans OpenXDASv2. Cet ensemble d'événements peut également être beaucoup plus spécifique d'un domaine, en intégrant des concepts tels que l'installation, la suppression ou la configuration de modules exécutables au sein d'un domaine d'application unique. L'idée principale est de garantir que les événements signalés sont importants pour la sécurité.
Tableau H-5 Taxinomie des événements de gestion de service ou d'application
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Activer le service |
0.0.3.5 |
DSE_CHANGE_MODULE_STATE |
Activer un service ou une application |
Cet événement est signalé en cas d'activation d'un service, d'une opération ou d'une fonction. |
Désactiver le service |
0.0.3.4 |
DSE_CHANGE_MODULE_STATE |
Désactiver un service ou une application |
Cet événement est signalé en cas de désactivation d'un service, d'une opération ou d'une fonction. |
Les sections suivantes présentent des exemples d'événements liés à la gestion des services ou des applications.
Cliquez sur Activer le service pour générer un événement d'activation d'un service, comme illustré dans l'exemple suivant :
Jan 08 15:06:03 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "164.99.179.191","SysName" : "sles11-sp3-191"}},"Initiator" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"}},"Target" : {"Data" : {"Module State" : "Loaded","Name" : "libspmdclnt.so"}},"Action" : {"Event" : {"Id" : "0.0.3.5","Name" : "ENABLE_SERVICE","CorrelationID" : "eDirectory#4294967295#","SubEvent" : "DSE_CHANGE_MODULE_STATE"},"Time" : {"Offset" : 1390473064},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Désactiver le service pour générer un événement de désactivation d'un service, comme illustré dans l'exemple suivant :
Jan 08 16:04:58 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "164.99.179.191","SysName" : "sles11-sp3-191"}},"Initiator" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"}},"Target" : {"Data" : {"Module State" : "Unloaded","Name" : "libssldp.so"}},"Action" : {"Event" : {"Id" : "0.0.3.4","Name" : "DISABLE_SERVICE","CorrelationID" : "eDirectory#4294967295#","SubEvent" : "DSE_CHANGE_MODULE_STATE"},"Time" : {"Offset" : 1390473298},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cette classe d'événements est associée à l'utilisation des services et applications. Ces événements sont généralement assignés à l'exécution d'un programme ou d'une procédure et à la manipulation de l'environnement de traitement.
Tableau H-6 Taxinomie des événements d'utilisation de service ou d'application
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Invoquer le service |
0.0.4.0 |
DSE_START_UPDATE_SCHEMA |
Invoquer un service ou une application |
Cet événement est signalé lorsqu'un service lié à la sécurité est invoqué. |
Terminer le service |
0.0.4.1 |
DSE_END_UPDATE_SCHEMA |
Arrêter un service ou une application |
Cet événement est signalé en cas d'arrêt d'un service. |
Modifier le contexte du processus |
0.0.4.3 |
DSE_CHANGE_TREE_NAME DSE_LDAP_MODLDAPSERVER DSE_MERGE_TREE DSE_PART_STATE_CHG_REQ DSE_REPAIR_TIME_STAMPS DSE_RESET_DS_COUNTERS DSE_SERVER_ADDRESS_CHANGE DSE_SERVER_RENAME DSE_SET_NEW_MASTER DSE_SYNTHETIC_TIME |
Modifier un contexte de traitement |
Cet événement est signalé lorsqu'un attribut quelconque d'un contexte de processus est modifié. Il est, dans une certaine mesure, spécifique des systèmes d'exploitation, mais il peut aussi être utilisé dans d'autres applications spécifiques du domaine. |
Les sections suivantes présentent des exemples d'événements d'utilisation de service ou d'application.
Cliquez sur Invoquer le service pour générer un événement d'invocation d'un service, comme illustré dans l'exemple suivant :
Jan 08 10:18:37 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Target" : {"Data" : {"Name" : "dc=Events"}},"Action" : {"Event" : {"Id" : "0.0.4.0","Name" : "INVOKE_SERVICE","CorrelationID" : "eDirectory#0#a23fbaea-c482-4d6b-a98c-eaba3fa282c4","SubEvent" : "DSE_PURGE_START"},"Time" : {"Offset" : 1389847717},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Terminer le service pour générer un événement de fin d'un service, comme illustré dans l'exemple suivant :
Jan 08 10:18:37 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Target" : {"Data" : {"Name" : "CN=SLES11-SP2-164,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.4.1","Name" : "TERMINATE_SERVICE","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_SYNC_SVR_OUT_END"},"Time" : {"Offset" : 1389847717},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Modifier le contexte du processus pour générer un événement en cas de modification d'attributs d'un contexte de processus, comme illustré dans l'exemple suivant :
Jan 08 10:30:18 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Action" : {"Event" : {"Id" : "0.0.4.3","Name" : "MODIFY_PROCESS_CONTEXT","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_SET_BINDERY_CONTEXT"},"Time" : {"Offset" : 1389848418},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Les événements d'association homologue sont liés à l'association d'un utilisateur ou d'une identité à un groupe, ou à l'association de deux utilisateurs dans un contexte spécifique d'un domaine. Il s'agit, par exemple, de l'ajout d'un utilisateur LDAP à un groupe ou de l'association de deux utilisateurs pour un usage spécifique d'un domaine dans la base de données d'association d'identités d'une application. Ces événements sont également liés à l'association d'identités au sein de domaines d'authentification disparates à des fins de fédération.
Par exemple, lorsqu'une identité dans le domaine A envoie une requête à un service régi par le domaine B, une association homologue est requise entre ces domaines. Souvent, cela est désigné sous le terme de « relation de confiance ». Du point de vue de la mise en oeuvre, la configuration d'une relation de confiance est souvent réalisée en établissant une identité dans le domaine B, qui est utilisée en tant que proxy pour toutes les requêtes en provenance de n'importe quelle identité du domaine A. Les relations de confiance peuvent cependant être beaucoup plus complexes, étant donné que les différentes identités du domaine A peuvent avoir des associations individuelles avec des identités spécifiques du domaine B.
Tableau H-7 Taxinomie des événements de gestion d'association homologue
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer une association homologue |
0.0.5.0 |
DSE_ADD_MEMBER |
Créer une association avec un homologue |
Cet événement est signalé lors de la création d'une association homologue. |
Terminer l'association homologue |
0.0.5.1 |
DSE_DELETE_MEMBER DSE_DELETE_VALUE |
Mettre fin à une association avec un homologue |
Cet événement est signalé lors de la destruction d'une association homologue existante. |
Les sections suivantes présentent des exemples pour les événements de gestion d'association homologue.
Cliquez sur Créer une association homologue pour générer un événement lorsqu'une association homologue est créée, comme illustré dans l'exemple suivant :
Jan 08 10:18:14 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.3:37573"}},"Target" : {"Data" : {"Attribute Name" : "LDAP Screen Level","Attribute Value" : "29257","ClassName" : "LDAP Server","Name" : "CN=LDAP Server - SLES11-SP2-164,O=mycom","Syntax" : "8"}},"Action" : {"Event" : {"Id" : "0.0.5.0","Name" : "CREATE_PEER_ASSOCIATION","CorrelationID" : "eDirectory#38#c92dfc98-2b8c-4116-0197-98fc2dc98c2b","SubEvent" : "DSE_ADD_VALUE"},"Time" : {"Offset" : 1389847694},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Terminer l'association homologue pour générer un événement lorsqu'un homologue existant est détruit, comme illustré dans l'exemple suivant :
Jan 08 10:18:14 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.3:37573"}},"Target" : {"Data" : {"Attribute Name" : "modifiersName","Attribute Value" : "CN=admin,O=mycom","ClassName" : "LDAP Server","Name" : "CN=LDAP Server - SLES11-SP2-164,O=mycom","Syntax" : "3"}},"Action" : {"Event" : {"Id" : "0.0.5.1","Name" : "TERMINATE_PEER_ASSOCIATION","CorrelationID" : "eDirectory#38#c92dfc98-2b8c-4116-0197-98fc2dc98c2b","SubEvent" : "DSE_DELETE_VALUE"},"Time" : {"Offset" : 1389847694},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Les événements d'accès de contenu de ressources sont liés à l'accès à des fichiers de données protégés par un domaine d'authentification. Il peut s'agir de fichiers du système de fichiers, d'enregistrements de base de données, de pages Web, etc. Lors de l'instrumentation d'applications, prenez en compte la sécurisation des accès aux ressources. L'accès aux ressources peut être un processus à large bande passante. Par conséquent, seuls les événements liés à la sécurité doivent être signalés. Une telle instrumentation doit être configurable au niveau de l'application par l'administrateur d'application, et doit donc être régie par des stratégies. Cela implique que de telles applications requièrent une infrastructure et une interface utilisateur supplémentaires pour permettre aux administrateurs de gérer les événements d'accès aux ressources qui doivent être audités et de déterminer les événements insignifiants dans le contexte de sécurité.
Tableau H-8 Taxinomie des événements d'accès de contenu d'élément de ressources ou de données
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer une association d'éléments de données |
0.0.6.0 |
DSE_ADD_VALUE |
Créer une association avec un élément de données |
Cet événement est signalé lorsque des droits sont accordés par une identité à un élément de données spécifique, lorsqu'une relation de confiance est établie entre une identité et un élément de données. |
Terminer l'association d'élément de données |
0.0.6.1 |
DSE_DELETE_ATTRIBUTE DSE_DELETE_VALUE |
Mettre fin à une association avec un élément de données |
Cet événement est signalé lorsque des droits sont révoqués à partir d'une identité pour un élément de données spécifique, lorsqu'une relation de confiance est révoquée entre une identité et un élément de données. |
Modifier l'association d'éléments de données |
0.0.6.3 |
DSE_BKLINK_OPERATOR DSE_BKLINK_SEV DSE_CHANGE_OBJ_SECURITY DSE_CHANGE_PROP_SECURITY DSE_CHANGE_SECURITY_EQUALS |
Modifier le contexte d'une association avec un élément de données |
Cet événement est signalé en cas de modification de droits sur la relation établie précédemment entre une identité et un élément de données spécifique. |
Les sections suivantes présentent des exemples pour les événements de gestion d'élément de ressources ou de données.
Cliquez sur Créer une association d'éléments de données pour générer un événement lorsque des droits sont accordés par une identité à un élément de données spécifique, comme illustré dans l'exemple suivant :
Jan 08 10:20:18 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=SLES11-SP2-164,O=mycom","Id" : "32833"},"Entity" : {"SysAddr" : "100.1.2.164:39570"}},"Target" : {"Data" : {"Attribute Name" : "Local Received Up To","Attribute Value" : "2918332558536081408","ClassName" : "Tree Root","Syntax" : "9"}},"Action" : {"Event" : {"Id" : "0.0.0.0","Name" : "CREATE_DATA_ITEM_ASSOCIATION","CorrelationID" : "eDirectory#21#bf97ffb6-91d0-4019-6988-b6ff97bfd091","SubEvent" : "DSE_ADD_VALUE"},"Time" : {"Offset" : 1389847818},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Terminer l'association d'élément de données pour générer un événement lorsque des droits sont révoqués à partir d'une identité pour un élément de données spécifique, comme illustré dans l'exemple suivant :
Jan 08 10:20:18 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=SLES11-SP2-164,O=mycom","Id" : "32833"},"Entity" : {"SysAddr" : "100.1.2.164:39570"}},"Target" : {"Data" : {"Attribute Name" : "syncPanePoint","ClassName" : "Tree Root","Syntax" : "9"}},"Action" : {"Event" : {"Id" : "0.0.6.1","Name" : "TERMINATE_DATA_ITEM_ASSOCIATION","CorrelationID" : "eDirectory#21#bf97ffb6-91d0-4019-6988-b6ff97bfd091","SubEvent" : "DSE_DELETE_ATTRIBUTE"},"Time" : {"Offset" : 1389847818},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Les événements de gestion des rôles pourraient également être classés en termes d'éléments de données, mais la gestion des rôles étant essentielle pour les systèmes qui gèrent les identités, ces événements ont aussi leur propre catégorie au sein de la taxinomie XDASv2.
Tableau H-9 Taxinomie des événements de gestion des rôles
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Créer un rôle |
0.0.8.0 |
DSE_CREATE_ENTRY DSE_LDAP_ADD DSE_LDAP_ADDRESPONSE DSE_NAME_COLLISION DSE_ADD_ENTRY |
Créer un nouveau rôle |
Crée un rôle ou, du moins, lance une tentative de création de rôle. |
Supprimer un rôle |
0.0.8.1 |
DSE_DELETE_ENTRY DSE_DELETE_VALUE DSE_LDAP_DELETE DSE_LDAP_DELETERESPONSE DSE_MOVE_SOURCE_ENTRY DSE_REMOVE_ENTRY |
Supprimer un rôle existant |
Supprime un rôle existant ou, du moins, lance une tentative de suppression d'un rôle existant. |
Modifier les rôles |
0.0.8.5 |
DSE_ADD_VALUE DSE_DELETE_ATTRIBUTE DSE_DELETE_VALUE DSE_LDAP_MODIFY DSE_LDAP_MODIFYRESPONSE DSE_MERGE_ENTRIES DSE_MODIFY_ENTRY DSE_MODIFY_RDN DSE_RENAME_ENTRY |
Modifier un attribut de rôle |
Modifie des attributs de rôle ou, du moins, lance une tentative de modification d'attributs de rôle. |
Rôle de requête |
0.0.8.4 |
DSE_LDAP_SEARCH DSE_LDAP_COMPARE |
Interroger des attributs de rôle |
Interroge des attributs de rôle ou, du moins, lance une tentative d'interrogation d'attributs de rôle. |
Les sections suivantes présentent des exemples pour les événements de gestion des rôles.
Cliquez sur Créer un rôle pour générer un événement lorsqu'un rôle est créé ou qu'une tentative de création d'un rôle a lieu, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "164.99.136.142:40645"}},"Target" : {"Data" : {"Name" : "dc=LDAPValidate"}},"Action" : {"Event" : {"Id" : "0.0.8.0","Name" : "CREATE_ROLE","CorrelationID" : "eDirectory#41#4477577d-b132-4d62-9e89-7d57774432b1","SubEvent" : "DSE_ADD_ENTRY"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Supprimer le rôle pour générer un événement lorsqu'un rôle existant est supprimé ou qu'une tentative de suppression d'un rôle existant a lieu, comme illustré dans l'exemple suivant :
Jan 08 10:18:35 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "164.99.136.142:40645"}},"Target" : {"Data" : {"ClassName" : "User","Name" : "CN=NewTest User1,dc=LDAPValidate","newRDN" : "á°¸à¶\u0092"}},"Action" : {"Event" : {"Id" : "0.0.8.1","Name" : "DELETE_ROLE","CorrelationID" : "eDirectory#41#7ba31085-4e90-47fd-0aa6-8510a37b904e","SubEvent" : "DSE_MOVE_SOURCE_ENTRY"},"Time" : {"Offset" : 1389847715},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Modifier le rôle pour générer un événement lorsque des attributs de rôle sont modifiés ou qu'une tentative de modification d'attributs de rôle a lieu, comme illustré dans l'exemple suivant :
Jan 08 10:20:23 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=SLES11-SP2-164,O=mycom","Id" : "32833"},"Entity" : {"SysAddr" : "100.1.2.164:39570"}},"Target" : {"Data" : {"Attribute Name" : "Convergence","ClassName" : "domain","Name" : "dc=Events","Syntax" : "8"}},"Action" : {"Event" : {"Id" : "0.0.8.5","Name" : "MODIFY_ROLE","CorrelationID" : "eDirectory#21#e01904e8-b3b2-4012-3c98-e80419e0b2b3","SubEvent" : "DSE_DELETE_ATTRIBUTE"},"Time" : {"Offset" : 1389847823},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Rôle de requête pour générer un événement lorsque des attributs de rôle sont interrogés ou qu'une tentative d'interrogation d'attributs de rôle a lieu, comme illustré dans l'exemple suivant :
Jan 08 10:19:35 eDirectory : INFO {"Source" : "eDirectory#LDAP","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "cn=admin,o=mycom"},"Entity" : {"SysAddr" : "164.99.136.142:42181"},"Assertions" : {"msgID" : "14","netAddress" : "164.99.136.142:50596","operationTime" : "01/16/14 10:19:34"}},"Target" : {"Data" : {"Data" : ", search filter: (objectclass=inetOrgPerson)","DataLen" : "44","Name" : "cn=Test User1,dc=LDAPValidate","connection" : "231405696","searchScope" : "base"}},"Action" : {"Event" : {"Id" : "0.0.8.4","Name" : "QUERY_ROLE","CorrelationID" : "eDirectory#4294967295#","SubEvent" : "DSE_LDAP_SEARCH"},"Time" : {"Offset" : 1389847775},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Les événements exceptionnels sont générés très rarement et sont considérés comme importants. Par exemple, l'arrêt d'un serveur essentiel pour l'entreprise est exceptionnel, car sa mise en œuvre n'est possible qu'avec l'autorisation d'une personne.
Tableau H-10 Taxinomie des événements exceptionnels
Nom de l'événement |
Événement Identifier |
Événement eDir correspondant |
Description |
Cliquez sur |
---|---|---|---|---|
Démarrer le système |
0.0.9.0 |
DSE_AGENT_OPEN_LOCAL DSE_RELOAD_DS |
Démarrer un système |
Cet événement est signalé lorsqu'un serveur, un système ou une application essentielle démarre. |
Arrêter le système |
0.0.9.1 |
DSE_AGENT_CLOSE_LOCAL |
Arrêter un système |
Cet événement est signalé lorsqu'un serveur, un système ou une application essentielle s'arrête. |
Sauvegarder la zone de stockage de données |
0.0.9.6 |
DSE_BACKUP_ENTRY |
Sauvegarder la zone de stockage de données |
Cet événement est signalé lorsqu'un serveur, un système ou une application essentielle sauvegarde une zone de stockage de données importante. |
Récupérer la zone de stockage de données |
0.0.9.7 |
DSE_RESTORE_ENTRY |
Récupérer la zone de stockage de données |
Cet événement est signalé lorsqu'un serveur, un système ou une application essentielle restaure une zone de stockage de données importante. |
Les sections suivantes présentent des exemples pour les événements exceptionnels.
Cliquez sur Démarrer le système pour générer un événement lorsqu'un serveur, un système ou une application essentielle démarre, comme illustré dans l'exemple suivant :
Jan 08 16:18:58 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "164.99.179.191","SysName" : "sles11-sp3-191"}},"Initiator" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Action" : {"Event" : {"Id" : "0.0.9.0","Name" : "START_SYSTEM","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_AGENT_OPEN_LOCAL"},"Time" : {"Offset" : 1390474138},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Arrêter le système pour générer un événement lorsqu'un serveur, un système ou une application essentielle s'arrête, comme illustré dans l'exemple suivant :
Jan 08 16:18:47 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "164.99.179.191","SysName" : "sles11-sp3-191"}},"Initiator" : {"Account" : {"Domain" : "GMC1-OESMARA","Name" : "CN=SLES11-SP3-191,O=novell"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Action" : {"Event" : {"Id" : "0.0.9.1","Name" : "SHUTDOWN_SYSTEM","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_AGENT_CLOSE_LOCAL"},"Time" : {"Offset" : 1390474127},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Récupérer le stockage de données pour générer un événement lorsqu'un serveur, un système ou une application essentielle récupère une zone de stockage de données, comme illustré dans l'exemple suivant :
Jan 08 10:18:35 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "100.1.2.164:32146"}},"Target" : {"Data" : {"Name" : "OU=tmp,dc=LDAPValidate"}},"Action" : {"Event" : {"Id" : "0.0.9.5","Name" : "RECOVER_DATA_STORE","CorrelationID" : "eDirectory#12#a565474e-e320-4121-2e9a-4e4765a520e3","SubEvent" : "DSE_RESTORE_ENTRY"},"Time" : {"Offset" : 1389847715},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
XDASv1 spécifiait l'authentification comme une modification d'attributs de session. XDASv2 fait de l'authentification un événement de premier ordre vu son importance pour un audit.
Tableau H-11 Taxinomie des événements d'authentification
Nom de l'événement |
Identificateur de l'événement |
Événements eDirectory |
Description |
Cliquez sur |
---|---|---|---|---|
Authentifier la session |
0.0.11.0 |
DSE_LDAP_BIND DSE_LDAP_BINDRESPONSE DSE_LOGIN |
Une nouvelle identité est associée à une session. |
Lorsqu'un utilisateur s'authentifie pour une session, une nouvelle identité est associée à cette session. Cette identité est ensuite utilisée afin d'autoriser les requêtes pour des ressources protégées. |
Session non authentifiée |
0.0.11.1 |
DSE_LDAP_UNBIND |
Un utilisateur a dissocié activement son identité d'une session authentifiée existante. |
Lorsqu'un utilisateur clique sur le bouton Déconnexion dans son navigateur Web, l'identité précédemment authentifiée est supprimée d'une session authentifiée existante. |
Créer un jeton d'accès |
0.0.11.4 |
DSE_ALLOW_LOGIN DSE_GEN_CA_KEYS DSE_RECERT_PUB_KEY |
Un jeton d'accès SAMLv2, WS-*, OAuth ou autre a été fourni à la demande. |
Un jeton d'accès à une ressource a été créé par un fournisseur de services (ou d'identité) pour l'envoyer à un utilisateur du service. L'accès est limité dans le temps, aux ressources spécifiquement demandées ou en fonction d'autres critères restrictifs, selon un contrat spécifié par des paires nom/valeur précédemment convenues dans le jeton. La création et l'envoi d'un jeton d'accès marquent le début d'une nouvelle pseudo-identité disposant de droits limités et spécifiques pour de ressources protégées. Cette pseudo-identité peut être utilisée comme identificateur de corrélation entre cet événement d'autorisation et d'autres à venir. L'identité réelle de l'utilisateur du système protégé par le jeton d'accès peut être masquée ou non pour le consommateur. |
Les sections suivantes présentent des exemples pour les événements d'authentification.
Cliquez sur Authentifier la session pour générer un événement lorsqu'un utilisateur s'authentifie pour une session. Une nouvelle identité est associée à cette session, comme illustré dans l'exemple suivant :
Jan 08 10:11:50 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "CN=admin,O=mycom","Id" : "32809"},"Entity" : {"SysAddr" : "100.1.2.164:54162"},"Assertions" : {"NetAddress" : "100.1.2.164","NullPassword" : "FALSE","bindery login" : "FALSE"}},"Target" : {"Data" : {"ClassName" : "User","Name" : "CN=SRV1,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.11.0","Name" : "AUTHENTICATE_SESSION","CorrelationID" : "eDirectory#25#","SubEvent" : "DSE_LOGIN"},"Time" : {"Offset" : 1389847310},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Session non authentifiée pour générer un événement lorsqu'un utilisateur annule son authentification pour une session. Son identité authentifiée précédemment est dissociée de cette session, comme illustré dans l'exemple suivant :
Jan 08 10:20:26 eDirectory : INFO {"Source" : "eDirectory#LDAP","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Name" : "cn=admin,o=mycom"},"Entity" : {"SysAddr" : "164.99.136.142:42181"},"Assertions" : {"msgID" : "54","netAddress" : "164.99.136.142:50596","operationTime" : "01/16/14 10:20:26"}},"Target" : {"Data" : {"connection" : "231405696"}},"Action" : {"Event" : {"Id" : "0.0.11.1","Name" : "UNAUTHENTICATE_SESSION","CorrelationID" : "eDirectory#4294967295#","SubEvent" : "DSE_LDAP_UNBIND"},"Time" : {"Offset" : 1389847826},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Cliquez sur Créer un jeton d'accès pour générer un événement lorsqu'un jeton d'accès à une ressource est créé par un fournisseur de services (ou d'identité) pour l'envoyer à un utilisateur du service, comme illustré dans l'exemple suivant :
Jan 08 10:18:34 eDirectory : INFO {"Source" : "eDirectory#DS","Observer" : {"Account" : {"Domain" : "MYTREE","Name" : "CN=SRV1,O=mycom"},"Entity" : {"SysAddr" : "100.1.2.164","SysName" : "SLES11-SP2-164"}},"Initiator" : {"Account" : {"Domain" : "MYTREE"},"Entity" : {"SysAddr" : "0.0.0.0:0"}},"Target" : {"Data" : {"ClassName" : "NCP Server","Name" : "CN=SRV1,O=mycom"}},"Action" : {"Event" : {"Id" : "0.0.11.4","Name" : "CREATE_ACCESS_TOKEN","CorrelationID" : "eDirectory#0#","SubEvent" : "DSE_ALLOW_LOGIN"},"Time" : {"Offset" : 1389847714},"Log" : {"Severity" : 7},"Outcome" : "0","ExtendedOutcome" : "0"}}
Les événements opérationnels sont liés aux opérations de services ou d'applications. Ils sont généralement assignés aux événements liés aux opérations d'un programme ou aux opérations relatives aux modules d'une application.
Tableau H-12 Taxinomie des événements opérationnels
Nom de l'événement |
Identificateur de l'événement |
Événements eDirectory |
Description |
Cliquez sur |
---|---|---|---|---|
Nouvel eDir opérationnel |
0.1.0.3.0.0 |
DSE_CRC_FAILURE DSE_DELETE_SUBTREE DSE_DELETE_UNUSED_EXTREF DSE_DSA_BAD_VERB DSE_LDAP_UNKNOWNOP DSE_LOST_ENTRY DSE_NEW_SCHEMA_EPOCH DSE_NO_REPLICA_PTR DSE_PURGE_ENTRY_FAIL DSE_RESEND_ENTRY |
Événement relatif au fonctionnement d'un service ou d'une application. |
Utilisé pour la consignation d'événements afin de générer des ID d'opération eDirectory. |